Skocz do zawartości


Zdjęcie

Zamiana plików na skróty na dyskach zewn.


  • Zaloguj się, aby dodać odpowiedź
10 odpowiedzi w tym temacie

#1 mlena33

mlena33

    Obserwator

  • 6 postów

Napisano 14 02 2014 - 18:36

Witam.

 

Mam problem z systemem. Po podłączeniu jakiegokolwiek dysku zewnętrznego wszystkie pliki zostają zamienione w skróty z lokalizacją C:\Windolws\system32. Przeskanowałam OTLem i zrobiłam logi. Bardzo proszę o sprawdzenie logów i pomoc w pozbyciu się zarazy:) niezbyt dobrze znam się na takich rzeczach, więc proszę o wyrozumiałość.

 


Załączone pliki

  • Załączony plik  Extras.Txt   132,84 KB   304 Ilość pobrań
  • Załączony plik  OTL.Txt   163,38 KB   311 Ilość pobrań

  • 0

#2 pawel315

pawel315

    Uzależniony od forum

  • 1 553 postów

Napisano 14 02 2014 - 20:42

Cześć
Podłącz wsyztskie pendrivy i użyj USB fix z opcji "Lising" log podaj na forum



  • 0

#3 mlena33

mlena33

    Obserwator

  • 6 postów

Napisano 14 02 2014 - 22:58

Dziękuję za zainteresowanie. Wrzucam logi z USBfix

 

 

Załączone pliki

  • Załączony plik  UsbFix.txt   7,98 KB   338 Ilość pobrań

  • 0

#4 pawel315

pawel315

    Uzależniony od forum

  • 1 553 postów

Napisano 15 02 2014 - 15:10

Podłącz wszystkie pendrivy.
Uruchom OTL i w oknie "Własne opcje skanowania/skrypt" wklej:

:OTL
O4 - HKU\S-1-5-21-2925289340-3300778476-750069456-1001..\Run: [ISUSPM Startup] C:\PROGRA~2\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup File not found
O4 - HKU\S-1-5-21-2925289340-3300778476-750069456-1001..\Run: [update] wscript.exe //B "C:\Users\MAGDAL~1\AppData\Local\Temp\update.vbs" File not found
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - Startup: C:\Users\Magdalena\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\update.vbs ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1

:Files
update.vbs /alldrives
autorun.inf /alldrives

:Commands
[emptytemp]

Kliknij "Wykonaj skrypt" i przedstaw log który wyświetli się po restarcie systemu.
Następnie:

  • Pobierz, zainstaluj, uruchom PandaUSBvaccine, po uruchomieniu programu kliknij w n im "Vaccinate Computer" -> /Przydatne-narz%C4%99dzia-dezynfekuj%C4%85ce-i-ochronne-t51856/#entry264905
  • Uruchom cmd.exe ( jako adminstrator ) i wprowadź tam komende:
    attrib /d /s -s -h X:\*
    Za X podstaw aktualną literę pendriva i uruchom tą komende klawiszem [enter]
  • Po pojawieniu się ikon na pendrivie możesz usunąć te skróty
  • Podaj nowe logi z OTL'a

Użytkownik pawel315 edytował ten post 15 02 2014 - 15:11

  • 0

#5 mlena33

mlena33

    Obserwator

  • 6 postów

Napisano 15 02 2014 - 20:25

Wykonałam polecenie.

Wklejam log po wykonaniu skryptu, ponieważ nie mogłam go dodać jako załącznik.

 

All processes killed
========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-2925289340-3300778476-750069456-1001\Software\Microsoft\Windows\CurrentVersion\Run\\ISUSPM Startup deleted successfully.
Registry value HKEY_USERS\S-1-5-21-2925289340-3300778476-750069456-1001\Software\Microsoft\Windows\CurrentVersion\Run\\update deleted successfully.
Registry value HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunOnce\\mctadmin deleted successfully.
Registry value HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunOnce\\mctadmin deleted successfully.
C:\Users\Magdalena\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\update.vbs moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges deleted successfully.
========== FILES ==========
update.vbs not found in C:\
update.vbs not found in E:\
update.vbs not found in F:\
G:\update.vbs moved successfully.
H:\update.vbs moved successfully.
I:\update.vbs moved successfully.
autorun.inf not found in C:\
autorun.inf not found in E:\
autorun.inf not found in F:\
autorun.inf not found in G:\
autorun.inf not found in H:\
autorun.inf not found in I:\
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 56502 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Magdalena
->Temp folder emptied: 24861091422 bytes
->Temporary Internet Files folder emptied: 31338960 bytes
->Java cache emptied: 612322 bytes
->FireFox cache emptied: 343729629 bytes
->Google Chrome cache emptied: 6478262 bytes
->Opera cache emptied: 17660415 bytes
->Flash cache emptied: 58973 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1148014418 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 137889 bytes
RecycleBin emptied: 9065974 bytes
 
Total Files Cleaned = 25,194.00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 02152014_183926

Files\Folders moved on Reboot...
C:\Users\Magdalena\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
C:\Users\Magdalena\AppData\Local\Temp\update.vbs moved successfully.
File move failed. C:\Users\Magdalena\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat scheduled to be moved on reboot.
C:\Windows\SysNative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
 

 

 

 ***********************************************************

 

Na pendrivach pojawiły się normalne pliki, wykasowałam skróty.

W cmd po wpisaniu komend wyskakiwało, że nie mam uprawnień, ale wygląda, że na pendrivach jest wszystko ok po zrobieniu wszystkich czynności.

 

W załączniku log OTL.

 

Załączone pliki

  • Załączony plik  OTL1.Txt   180,05 KB   332 Ilość pobrań

  • 0

#6 pawel315

pawel315

    Uzależniony od forum

  • 1 553 postów

Napisano 15 02 2014 - 20:28

Syf ciągle siedzi użyłaś PandaUSBVAccine jak mówiłem ? Jeśli tak to jeszcze raz wykonaj ten skrypt co wyżej podałem


  • 0

#7 mlena33

mlena33

    Obserwator

  • 6 postów

Napisano 15 02 2014 - 22:16

Użyłam. Ponownie wykonałam skrypt:

 


All processes killed
========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-2925289340-3300778476-750069456-1001\Software\Microsoft\Windows\CurrentVersion\Run\\ISUSPM Startup not found.
Registry value HKEY_USERS\S-1-5-21-2925289340-3300778476-750069456-1001\Software\Microsoft\Windows\CurrentVersion\Run\\update deleted successfully.
Registry value HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunOnce\\mctadmin not found.
Registry value HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunOnce\\mctadmin not found.
C:\Users\Magdalena\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\update.vbs moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges not found.
========== FILES ==========
update.vbs not found in C:\
update.vbs not found in E:\
update.vbs not found in F:\
update.vbs not found in G:\
update.vbs not found in H:\
update.vbs not found in I:\
autorun.inf not found in C:\
autorun.inf not found in E:\
autorun.inf not found in F:\
File move failed. G:\AUTORUN.INF scheduled to be moved on reboot.
File move failed. H:\AUTORUN.INF scheduled to be moved on reboot.
File move failed. I:\AUTORUN.INF scheduled to be moved on reboot.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Magdalena
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 5952 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 18456899 bytes
->Google Chrome cache emptied: 0 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 578 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 2680 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 128 bytes
RecycleBin emptied: 850114 bytes
 
Total Files Cleaned = 18.00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 02152014_210106

Files\Folders moved on Reboot...
File\Folder G:\AUTORUN.INF not found!
File\Folder H:\AUTORUN.INF not found!
File\Folder I:\AUTORUN.INF not found!
C:\Users\Magdalena\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
File\Folder C:\Users\Magdalena\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat not found!
C:\Windows\SysNative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
 

 

 

 

 

***********************************************

A co z tym cmd? Ciągle wyskakuje mi, np dla G
Odmowa dostępu - G:\AUTORUN.INF


  • 0

#8 pawel315

pawel315

    Uzależniony od forum

  • 1 553 postów

Napisano 17 02 2014 - 14:47

A pliki na pendive są widoczne ?


  • 0

#9 mlena33

mlena33

    Obserwator

  • 6 postów

Napisano 17 02 2014 - 17:53

Są widoczne. Skróty pousuwałam i nie podmienia na nowe. Działa normalnie jak dawniej.


  • 0

#10 pawel315

pawel315

    Uzależniony od forum

  • 1 553 postów

Napisano 17 02 2014 - 22:07

Aha no to w porządku. Uruchom OTL i kliknij w nim "Sprzątanie" - to usunie jest kwarantannę


  • 0

#11 mlena33

mlena33

    Obserwator

  • 6 postów

Napisano 19 02 2014 - 08:08

Usunięte. Dziękuję bardzo za pomoc.



  • 0

Zobacz więcej tematów z tagiem: logi OTL wirus



Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych