Witamy na forum PC Format Zapraszamy do REJESTRACJI


Użytkownicy przeglądający ten wątek: 1 gości

Skróty zamiast folderów na dysku wymiennym

#1
Skróty zamiast folderów na dysku wymiennym
Witam! Najprawdopodobniej jakiś wirus dostał się na mój komputer - na USB zamiast folderów mam skróty do tychże. Ale od początku...
Po kliknięciu w skrót folder się otwierał razem z całą zawartością, dlatego na początku nie wydało mi się to podejżane. Jako że była to muzyka nagrana na dysku flash do samochodu, podłączyłem ten dysk do radia w samochodzie i tam już żaden plik nie został wykryty (wcześniej muzyka grała normalnie z tego dysku). Wtedy wydało mi się to podejżane, więc podpiąłem penka do laptopa (drugi komputer) i tam antywirus wykrył dwa zagrożenia. Usunąłem oba z nich, jednak po ponownym skanowaniu okazało się że jeden dalej tam siedzi*. Nie zależało mi na tej muzyce, bo i tak miałem kopie utworów, więc wywaliłem pena do kosza z myślą "zawirusowany i tam mi się do niczego nie przyda". Postanowiłem uzyć drugiego, ale niestety problem nadal istniał. Z tą tylko różnicą, że tu już żaden wirus nie został wykryty. Wtedy już zorientowałem się że to nie tamten pendrive był zawirusowany, co mój komputer (albo i jedno i drugie). Zacząłem szukać informacji w Internecie i stwierdziłem że najlepiej będzie poradzić się na tym forum. Przepraszam za tak długi tekst, ale chciałem precyzyjnie opisać problem.

*wirus ten nosi nazwę MerciJacquieMichel.vbe

PS: Oczywiście załączam logi z wyjątkiem TDSS Killer'a (miałem problemy ze ściągnięciem) + log z programu AdwCleaner (na jednym forum ktoś polecał w tego typu problemach)

Extras.txt: http://wklej.org/id/3273818/
OTL.txt: http://wklej.org/id/3273820/
AdwCleaner[S1].txt:  http://wklej.org/id/3273824/
Silent Runners: http://wklej.org/id/3273850/
GMER:  http://wklej.org/id/3273904/
log.txt [RSIT]:  http://wklej.org/id/3273914/
MBRCheck:  http://wklej.org/id/3273915/
FRST.txt:  http://wklej.org/id/3273922/
Addition.txt [FRST]:  http://wklej.org/id/3273924/
Shortcut.txt [FRST]:  http://wklej.org/id/3273925/


Ostrzeżenie (na razie bez konsekwencji): w jakim celu formatujesz tekst? Żebym teraz ja musiał poprawiać?

FYI: Link-spacja-opis (albo odwrotnie): https://forum.pcformat.pl/Jak-podawac-lo...--498316-t  


Do meritum: problem znany od kilu lat (już nawet myślałem że minął) - Atmorderca na pewno ci udzieli odpowiednich wskazówek.

broda99
.
 System operacyjny: windows_seven Przeglądarka: chrome
#2
RE: Skróty zamiast folderów na dysku wymiennym
Tak, komputer jest zarażony.

1) Otwórz Notatnik i wklej w nim:

Kod:
Task: {FE4BA9D1-A21B-452B-83A3-88FDFAA80AB9} - System32\Tasks\{2D13E648-96E2-4A90-9FDB-3E334546384F} => C:\Windows\system32\pcalua.exe -a "E:\807 Network Joystick(4a12k)3.70a - 副本 (2).exe" -d E:\
HKU\S-1-5-21-1612450249-583761516-2022609691-1000\...\ChromeHTML: ->  <==== UWAGA
HKLM\...\Run: [MerciJacquieMichel] => wscript.exe //B "C:\Users\Macielug\AppData\Local\Temp\MerciJacquieMichel.vbe" <==== UWAGA
HKLM-x32\...\Run: [] => [X]
C:\Users\Macielug\AppData\Local\Temp\MerciJacquieMichel.vbe
HKU\S-1-5-19\...\Winlogon: [Shell] C:\Windows\SysWOW64\explorer.exe [2972672 2016-08-29] (Microsoft Corporation) <==== UWAGA
HKU\S-1-5-20\...\Winlogon: [Shell] C:\Windows\SysWOW64\explorer.exe [2972672 2016-08-29] (Microsoft Corporation) <==== UWAGA
HKU\S-1-5-18\...\Winlogon: [Shell] C:\Windows\SysWOW64\explorer.exe [2972672 2016-08-29] (Microsoft Corporation) <==== UWAGA
HKU\S-1-5-21-1612450249-583761516-2022609691-1000\...\Run: [MerciJacquieMichel] => wscript.exe //B "C:\Users\Macielug\AppData\Local\Temp\MerciJacquieMichel.vbe" <==== UWAGA
Startup: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MerciJacquieMichel.vbe [2014-10-16] ()
Startup: C:\Users\Macielug\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MerciJacquieMichel.vbe [2014-10-16] ()
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
S3 GGSAFERDriver; \??\C:\Program Files (x86)\Garena Plus\Room\safedrv.sys [X]
S3 MBAMWebProtection; \??\C:\Windows\system32\drivers\mwac.sys [X]
c:\Users\Administrator\Desktop\Audio DVD Creator.lnk
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

2) Zrób log z USBFix, z opcji  LISTING  http://www.fixitpc.pl/topic/8-dezynfekcja-zbi%C3%B3r-narz%C4%99dzi-usuwaj%C4%85cych/#entry172740

3) Zrób nowe logi FRST.
.
 System operacyjny: windows_seven Przeglądarka: seamonkey
#3
RE: Skróty zamiast folderów na dysku wymiennym
Więc tak, zrobiłem jak napisałeś - oto logi:


USB Fix : http://wklej.org/id/3274327/
FRST : http://wklej.org/id/3274329/
Addition : http://wklej.org/id/3274330/
Shortcut : http://wklej.org/id/3274331/
 System operacyjny: windows_seven Przeglądarka: chrome
#4
RE: Skróty zamiast folderów na dysku wymiennym
1) Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Kod:
G:\MerciJacquieMichel.vbe
H:\MerciJacquieMichel.vbe
G:\muzyka polska.lnk
CMD: attrib -s -h G:\muzyka polska
HKLM\...\Run: [MerciJacquieMichel] => wscript.exe //B "C:\Users\Macielug\AppData\Local\Temp\MerciJacquieMichel.vbe" <==== UWAGA
HKLM-x32\...\RunOnce: [] => [X]
C:\Users\Macielug\AppData\Local\Temp\MerciJacquieMichel.vbe
HKU\S-1-5-21-1612450249-583761516-2022609691-1000\...\Run: [MerciJacquieMichel] => wscript.exe //B "C:\Users\Macielug\AppData\Local\Temp\MerciJacquieMichel.vbe" <==== UWAGA
Startup: C:\Users\Macielug\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MerciJacquieMichel.vbe [2014-10-16] ()
C:\Users\Macielug\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MerciJacquieMichel.vbe
Reg: reg delete HKU\S-1-5-21-1612450249-583761516-2022609691-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
C:\Windows\Minidump\*.dmp
HOSTS:
EmptyTemp:
Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

2) Zrób nowy log USBFix z opcji LISTING.

3) Zrób nowy log FRST - już bez Addition, i bez Shortcut.
.
 System operacyjny: windows_seven Przeglądarka: seamonkey
#5
RE: Skróty zamiast folderów na dysku wymiennym
Na przyszłość do ochrony systemu przed infekcjami z nośników mobilnych polecam lekki
MCShield
http://www.mcshield.net/screenshots.html
https://safegroup.pl/showthread.php?tid=...pid=184516
#6
RE: Skróty zamiast folderów na dysku wymiennym
Pod spodem nowy log z FRST'a:
http://wklej.org/id/3274518/

Natomiast przy próbie wykonania loga z UsbFix wyskoczył mi błąd: "error: subscript used on non-accessible variable"
 System operacyjny: windows_seven Przeglądarka: chrome
#7
RE: Skróty zamiast folderów na dysku wymiennym
bez logu USBFix nie mam pojęcia, jaka jest sytuacja na pamięciach przenośnych.
Wyłącz antywirusa na czas ściągania i używania USBFixa
 System operacyjny: windows_seven Przeglądarka: seamonkey
#8
RE: Skróty zamiast folderów na dysku wymiennym
Oczywiście zdaje sobie sprawę, że bez logu UsbFix nie będziesz w stanie mi pomóc, jednak tłumaczę raz jeszcze, że przy próbie wygenerowania tegoż pojawia się błąd " "error: subscript used on non-accessible variable". Żeby nie być gołosłownym załączam screena.

PS: Próbowałem już oczywiście z wyłączonym antywirusem i nawet w trybie awaryjnym, problem ten sam...


Załączone pliki Miniatury
   
 System operacyjny: windows_seven Przeglądarka: chrome
#9
RE: Skróty zamiast folderów na dysku wymiennym
Szkoda.
Trudno, skoro nie da się zrobić logu, to sformatuj obie pamięci przenośne.
.
 System operacyjny: windows_seven Przeglądarka: seamonkey
#10
RE: Skróty zamiast folderów na dysku wymiennym
Dziękuję - problem zniknął. Temat do zamknięcia!
 System operacyjny: windows_seven Przeglądarka: chrome
Programy: Polecane / Nowe / Inne




Podobne wątki (Skróty zamiast folderów na dysku wymiennym)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Pojawianie się podejrzanych folderów exe Ryoukio 1 5429 26.12.2018, 08:51
Ostatni post: morderca
  pendrive wyswietla skróty zamiast plików halucyn15785416 8 4492 19.11.2018, 18:46
Ostatni post: halucyn15785416
Exclamation skróty na pendrivie sendlaksz 10 9208 29.10.2018, 22:54
Ostatni post: sendlaksz

Skocz do:


Wybrane wątki (Skróty zamiast folderów na dysku wymiennym)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Gameorplay.info wirus krzysiek3542 3 5723 06.07.2018 23:05
Ostatni post: krzysiek3542
  wolna praca systemu ricardo59 2 5558 06.07.2018 15:36
Ostatni post: ricardo59
Toungue Jak usunąć yahoo z przeglądarki. berneros 4 4976 02.07.2018 20:20
Ostatni post: berneros
  Queteex, Dtdump stevie1 10 10566 27.06.2018 09:32
Ostatni post: stevie1
  Samoczynne otwieranie się stron internetowych Ahmed69 8 5454 24.06.2018 19:39
Ostatni post: Ahmed69
  Proszę o sprawdzenie logów kacperex44 10 10353 17.06.2018 20:11
Ostatni post: kacperex44
  Skrót do pendrivea po podłączeniu go do komputera winuszka 4 5549 08.06.2018 16:29
Ostatni post: morderca
  Jak usunąć wyszukiwarkę yahoo Bobson1337 6 1531 06.06.2018 21:53
Ostatni post: Bobson1337
  Perfidnie wyskakujące Popup, dlaczego? waple 4 5271 05.06.2018 20:02
Ostatni post: avecezar
  Kaspersky niemoże usunąć rootkita Ymir6066 4 1256 03.06.2018 16:48
Ostatni post: morderca
  przekierowanie w Chrome robert14-83 2 5672 25.05.2018 12:45
Ostatni post: robert14-83
  Sms i potencjalna kradzież Majki_77 5 5404 25.05.2018 10:30
Ostatni post: ptrick
  WIrus, blokujący antywirusy Slaox 1 5356 24.05.2018 08:23
Ostatni post: morderca
  "svchost próbuje połączyć się z internetem" - Comodo Mojmor23 11 11410 20.05.2018 21:32
Ostatni post: Illidan
  Co poradzić na ataki DDoS ? Alpha_Centauri 0 5290 16.05.2018 23:18
Ostatni post: Alpha_Centauri