Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek dla www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Ukryte foldery po infekcji. Windows 7 32bit.

09 Paź 2011 11:22 3893 12
  • Poziom 24  
    Witam, do infekcji doszło na moim przenośnym dysku kiedy podłączyłem się do innego komputera. Z folderów zostały utworzone skróty odnoszące się do pliku .exe ukrytego w koszu. Zainstalowałem Avasta oraz Spyware Doctor i zagrożenia zostały usunięte (Win32.Virtob oraz Win32.Ruskill-CU). Następnie programem Smart Virus Remover przywróciłem ustawienia domyślne folderów. Skróty zniknęły ale główne foldery jakie miałem na dysku nadal są ukryte i nie da się tego zmienić. Proszę o pomoc w dalszym postępowaniu. Dodaje logi z OTL. Z góry dziękuje.

    http://wklej.org/id/605071/
  • Pomocny post
    Spec od komputerów
    Zrob skan przy pomocy mbam oraz cureit.
    Uzyj USBFix, opcja Vaccinate.

    Masz wlaczone pokazywanie plikow ukrytych oraz wylaczone ukrywanie plikow chronionych?

    W logu nie widac nic ciekawego. Jestes pewien, ze foldery nie zostaly usuniete?
  • Poziom 24  
    Skanowanie w toku. Foldery są obecne na dysku bo po odznacznieniu opcji "Ukryj chronione pliki systemu operacyjnego" stają się widoczne i można normalnie z nich korzystać.
  • Poziom 25  
    Otwórz Notatnik i wklej w nim:

    Cytat:
    attrib -s -h C:\Users\XMEN\Documents\Moje wideo
    attrib -s -h C:\Users\XMEN\Documents\Moje obrazy
    attrib -s -h C:\Users\XMEN\Moje dokumenty
    attrib -s -h C:\Users\XMEN\Documents\Moja muzyka

    PAUSE

    Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako: FIX.BAT > Uruchom ten plik dwuklikiem.
    .
  • Poziom 24  
    Cytat:

    C:\Users\XMEN\Desktop>attrib -s -h C:\Users\XMEN\Documents\Moje wideo
    Format parametru jest niepoprawny -

    C:\Users\XMEN\Desktop>attrib -s -h C:\Users\XMEN\Documents\Moje obrazy
    Format parametru jest niepoprawny -

    C:\Users\XMEN\Desktop>attrib -s -h C:\Users\XMEN\Moje dokumenty
    Format parametru jest niepoprawny -

    C:\Users\XMEN\Desktop>attrib -s -h C:\Users\XMEN\Documents\Moja muzyka
    Format parametru jest niepoprawny -

    C:\Users\XMEN\Desktop>PAUSE
    Aby kontynuować, naciśnij dowolny klawisz . . .


    Cytat:
    ATTRIB [+R | -R] [+A | -A ] [+S | -S] [+H | -H] [+I | -I]
    [dysk:] [sciezka] [nazwa_pliku] [/S [/D] [/L]]


    To polecenie nie odnosi się do plików ? Pytam bo nigdy nie korzystałem a składnia jest jak wyżej.
  • Poziom 25  
    Polecenie odnosi się do folderów "Moje Dokumenty", "Moje obrazy", itd.
    Ale nie zwróciłem uwagi, że to jest na pulpicie. W tym przypadku usuwanie atrybutów nie ma uzasadnienia, bo te obiekty powinny mieć te atrybuty.
    .
  • Poziom 24  
    ordynat1 napisał:
    Polecenie odnosi się do folderów "Moje Dokumenty", "Moje obrazy", itd.
    Ale nie zwróciłem uwagi, że to jest na pulpicie. W tym przypadku usuwanie atrybutów nie ma uzasadnienia, bo te obiekty powinny mieć te atrybuty.
    .


    Foldery, które są ukryte są na 3 partycjach dysku przenośnego i tylko tam.
  • Pomocny post
    Poziom 25  
    To zmienia całkowicie sytuację: już @Kolobos zalecił Ci użycie USBFix, więc pokaż z niego log.

    Nawiasem mówiąc, w swoim scripcie, który Ci poprzednio zaleciłem, znalazłem błąd:
    attrib -s -h C:\Users\XMEN\Moje dokumenty ---> tak podałem
    attrib -s -h "C:\Users\XMEN\Moje dokumenty" ---> a tak powinno być (chodzi o cudzysłów)
    .
  • Poziom 24  
    Wrzucam logi z USBFix. Nie jestem specjalistą w tej dziedzinie ale widać chyba niepokojące wpisy w rejestrze i pliki w folderach.

    http://wklej.org/id/605594/
  • Pomocny post
    Spec od komputerów
    Usun atrybut systemowy i ukryty z folderow na dysku przenosnym.
  • Poziom 24  
    Działa :D Ostatnie pytanie, czy można te polecenie zmienić tak aby ustawiło atrybuty od razu do wszystkich folderów czy trzeba każdą ścieżkę po kolei wpisywać ? Wielkie dzięki Panowie ! ;):):)
  • Pomocny post
    Poziom 25  
    Można hurtowo:
    Cytat:
    H:
    del /s H:\*.lnk
    attrib /d /s -s -h H:\*
    Pause


    gdzie zamiast literki H wstawić literkę, pod jaką widziana jest pamięc przenośna.

    .
  • Poziom 24  
    Dzięki wielkie ;) wszystko działa jak przed infekcją ;)