Foldery zmieniły się w skróty-wszystkie usb magazynujące

[juniorps]

Witam

Miałem w komputerze 2 systemy Win7 i Ubuntu 11.10 kumplowi pomogłem odblokować jego pendriva (za pomoca linuxa) .

 

Później wgrałem tylko Win 7 i zdziwiło mnie że magazyny usb zamiast folderów zawierają skróty.

 

Wszystkie dane się otwierają tylko otwiera się nowe okno i tam trzeba pracować na plikach.

 

Doczytałem się, że to infekcja .

 

Aby wyczyścić wszystko przed wykonaniem Logów podłączyłem wszystko co mogło być zaifekowane .

 

Proszę o pomoc i czekam na instrukcje .

 

Piotrek

Extras.Txt

OTL.Txt

[picasso]

System jest zainfekowany, uruchamia się ten gagatek w starcie:

 

O4 - HKU\S-1-5-21-2805259771-1903204986-2947160097-1000..\Run: [Rlncnt] C:\Users\Piotrek\AppData\Roaming\Rlncnt.exe (ñklfmnbgkfn)

 

A każdy podpinany dysk otrzymuje "bonusy". Przeprowadź następujące działania:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKU\S-1-5-21-2805259771-1903204986-2947160097-1000..\Run: [Rlncnt] C:\Users\Piotrek\AppData\Roaming\Rlncnt.exe (ñklfmnbgkfn)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

2. Zrób nowy log OTL z opcji Skanuj, zaznacz opcję Pomiń pliki Microsoftu, bo tak duży log nie jest potrzebny, a pliku Extras po raz drugi nie dawaj. Dodaj log USBFix z opcji Listing.

 

 

 

.

[juniorps]

Wykonałem skrypt , który otrzymałem od Pani.

 

Załączam logi po wykonaniu skryptu

 

Czekam na dalsze instrukcje.

 

Pozdrawiam

OTL.Txt

[juniorps]

Sprawdziłem jak wygląda jedna pamięć masowa .

 

Okazało się, że skróty są i pojawiły się też foldery (troszke bledszy wygląd mają niż normalnie)

 

Myślę, że w raportach to jest ale tak na wszelki wypadek dopowiadam.

 

Pozdrawiam

[picasso]

Infekcja prawie usunięta, nie wiem dlaczego, ale OTL nie usunął wpisu rejestru, tylko plik. Drobna poprawka:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKU\S-1-5-21-2805259771-1903204986-2947160097-1000..\Run: [Rlncnt] C:\Users\Piotrek\AppData\Roaming\Rlncnt.exe File not found

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. Do oceny wystarczy tylko log z usuwania OTL, nowy skan OTL zbędny. Ale tu nie koniec:

 

 

Okazało się, że skróty są i pojawiły się też foldery (troszke bledszy wygląd mają niż normalnie)

 

Foldery się nie pojawiły, a są "blade", bo ukryte. One cały czas tam były, tylko teraz zrobiłeś skan OTL, który (jako ułatwienie dla prowadzających pomoc) przestawia opcje widoczności plików, co jest równoważne z ustawieniem w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok: zaznacz Pokaż ukryte pliki i foldery + odptaszkuj Ukryj chronione pliki systemu operacyjnego. To ta druga opcja Ukryj chronione pliki systemu operacyjnego jest kluczowa, by widzieć foldery. Użytkownicy zwykle o niej zapominają i wydaje im się, że infekcja "przerobiła" foldery na skróty lub foldery usunęła. Nie. Ta infekcja działa w ten sposób: ukrywa foldery przez atrybuty HS ("ukryty systemowy"), by upozorować ich brak, na podstawie ich nazw robi widoczne skróty, które uruchamiają infekcję z Kosza urządzenia. Użytkownik sądząc, że foldery zniknęły, próbuje skróty uruchamiać.

 

I teraz należy oczyścić urządzenie: usunąć skróty i Kosz oraz zdjąć atrybuty HS z folderów. Nie dodałeś mi raportu z USBFix, który pozwoli precyzyjnie oglądnąć skład urządzenia. Za to dałeś Extras (usuwam), którego właśnie nie kazałam dodawać.

 

 

.

[juniorps]

Skrypt wykonany , zaznaczyłem: Pokaż ukryte pliki i foldery+Ukryj chronione pliki systemu operacyjnego->na usb są znowu tylko skróty .

 

Teraz tak myślę : usunę te skróty i opróżnie kosz, zdjąć atrybuty HS tzn odznaczyć opcję Ukryj chronione pliki systemu operacyjnego?

 

Za ten Extras przepraszam .

 

załączam wynik z usbfix

 

Pozdrawiam

UsbFix.txt

[picasso]

Nie dodałeś loga z usuwania OTL...

 

 

Teraz tak myślę : usunę te skróty i opróżnie kosz, zdjąć atrybuty HS tzn odznaczyć opcję Ukryj chronione pliki systemu operacyjnego?

 

- Nie chodzi mi o to byś miał to robić ręcznie. Po to prosiłam o log z USBFix, by mieć precyzyjne dane do kolejnego skryptu, który ma w zamiarze wykonać te trzy akcje hurtem.

- Opcja "Ukryj chronione pliki systemu operacyjnego" nie ma związku ze zdejmowaniem atrybutów. Ona tylko uwidaczna foldery na widoku i nic poza tym, nie zmienisz tym stanu rzeczywistego folderów. Atrybuty HS można ściągnąć tylko z linii komend, nie ma żadnej opcji w eksploratorze do tego.

- Co do "Opróżniania Kosza", to nie myśl o tym co na Pulpicie, to tylko wirtualny skrót, chodzi o docelowe rzeczywiste foldery Kosza umieszczone na każdym z urządzeniu z osobna.

 

Przechodząc do dzieła:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
G:\*.lnk
H:\*.lnk
I:\*.lnk
J:\*.lnk
K:\*.lnk
rd /s /q C:\$Recycle.Bin /C
rd /s /q D:\$RECYCLE.BIN /C
rd /s /q E:\$RECYCLE.BIN /C
rd /s /q G:\RECYCLER /C
rd /s /q H:\RECYCLER /C
rd /s /q I:\RECYCLER /C
rd /s /q J:\RECYCLER /C
rd /s /q K:\RECYCLER /C
rd /s /q K:\$RECYCLE.BIN /C
attrib /d /s -s -h G:\* /C
attrib /d /s -s -h H:\* /C
attrib /d /s -s -h I:\* /C
attrib /d /s -s -h J:\* /C
attrib /d /s -s -h K:\* /C

 

Klik w Wykonaj skrypt.

 

2. Zrób nowy log USBFix z opcji Listing. Dołącz log z usuwania skryptem OTL.

 

 

 

 

.

[juniorps]

Skrypt wykonany załączam wyniki

 

Pozdrawiam

UsbFix 2.txt

[picasso]

Kurcze, Ty mi dajesz skan OTL (usuwam), a nie wyniki usuwania OTL. To są dwa różne logi. Log z usuwania jest tworzony automatycznie na dysku, z którego uruchamiano OTL, czyli tu w folderze C:\_OTL. Zostawmy to już jednak. Widzę w nowym logu USBFix, że wszystko wykonane. Możemy kończyć:

 

1. Odinstaluj USBFix. W OTL uruchom Sprzątanie (to zmieni ponownie opcje widoku i skasuje OTL z dysku + rejestru oraz jego kwarantannę).

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

 

.