Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Uruchamianie się folderów przez Cmd

daniuello 03 Kwi 2017 20:56 552 16
  • #1 03 Kwi 2017 20:56
    daniuello
    Poziom 7  

    Witam.
    Specyfikacja mojego komputera w tym przypadku nie będzie potrzebna. Ostanio podczas pobierania pliku mój komputer został zainfekowany. Wirusy wyczyściłem programem spyhunter oraz antymalware. Jednak pozostał pewien problem podczas włączania jakiegokolwiek folderu podwójnym kliknięciem folder uruchamia mi się poprzez konsole cmd. Czy ktoś mógłby mi doradzić co zrobić w tej sytuacji?

    0 16
  • #4 03 Kwi 2017 21:27
    Kolobos
    Spec od komputerów

    Co masz w tym katalogu?
    2017-03-08 15:00 - 2017-03-01 19:03 - 00000000 ____D C:\ProgramData\~0


    Odinstaluj: Driver Booster 4.3

    Obok frst.exe utworz plik Fixlist.txt z zawartoscia:
    CloseProcesses:
    Task: {29511FCE-A3C5-412C-9193-1C860DBA5B03} - System32\Tasks\Driver Booster SkipUAC (Daniel) => C:\Program Files (x86)\IObit\Driver Booster\4.3.0\DriverBooster.exe [2017-03-16] (IObit)
    Task: {4F496BC7-7BA6-4E9C-8E77-18BEE76FF2DA} - System32\Tasks\doggo => C:\Users\Daniel\AppData\Roaming\QNDl\VvYg.exe
    Task: {B9D58693-95BD-4C57-889A-DDFFC774649D} - System32\Tasks\Driver Booster Scheduler => C:\Program Files (x86)\IObit\Driver Booster\4.3.0\Scheduler.exe [2017-03-10] (IObit)
    HKLM-x32\...\Run: [] => [X]
    HKU\S-1-5-21-2542561460-3481063218-1336541169-1001\...\Run: [AceStream] => C:\Users\Daniel\AppData\Roaming\ACEStream\engine\ace_engine.exe
    HKU\S-1-5-21-2542561460-3481063218-1336541169-1001\...\MountPoints2: {0a2f7c17-d4e3-11e6-96d6-600292b5008a} - "D:\Startme.exe"
    AutoConfigURL: [S-1-5-21-2542561460-3481063218-1336541169-1001] => hxxp://noblok.biz/wpad.dat?c5072501d577bb4abcb5cea9b38209a027317707
    ManualProxies: 0hxxp://noblok.biz/wpad.dat?c5072501d577bb4abcb5cea9b38209a027317707
    RemoveProxy:
    FF Plugin HKU\S-1-5-21-2542561460-3481063218-1336541169-1001: @acestream.net/acestreamplugin,version=3.1.11 -> C:\Users\Daniel\AppData\Roaming\ACEStream\player\npace_plugin.dll [Brak pliku]
    FF Plugin HKU\S-1-5-21-2542561460-3481063218-1336541169-1001: @acestream.net/acestreamplugin,version=3.1.16 -> C:\Users\Daniel\AppData\Roaming\ACEStream\player\npace_plugin.dll [Brak pliku]
    FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\4384343.js [2017-03-31] <==== UWAGA (Linkuje do pliku *.cfg)
    FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\4384343.cfg [2017-03-31] <==== UWAGA
    CHR Extension: (Ace Stream Web Extension) - C:\Users\Daniel\AppData\Local\Google\Chrome\User Data\Default\Extensions\mjbepbhonbojpoaenhckjocchgfiaofo [2016-12-03]
    CHR HKU\S-1-5-21-2542561460-3481063218-1336541169-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx
    2017-04-03 17:00 - 2017-04-03 17:00 - 00000000 _____ C:\Windows\system32\cd
    2017-04-01 15:34 - 2017-04-01 15:34 - 00000000 ____D C:\Program Files (x86)\1kkploipjrv
    2017-03-31 18:59 - 2017-03-31 18:59 - 00000000 ____D C:\Program Files (x86)\Client
    2017-03-31 18:35 - 2017-04-01 20:48 - 00003568 _____ C:\Windows\System32\Tasks\doggo
    2017-03-31 18:35 - 2017-03-31 18:35 - 00000000 ____D C:\Users\Daniel\AppData\Roaming\Monitor
    2017-03-31 18:35 - 2017-03-31 18:35 - 00000000 ____D C:\ProgramData\Client
    2017-03-31 18:33 - 2017-04-02 21:54 - 00001294 _____ C:\Users\Daniel\Desktop\Multihack_Cycu.lnk
    2017-03-31 18:33 - 2017-03-31 18:33 - 00000968 _____ C:\Users\Daniel\Desktop\Metin2 Deneris (2).lnk
    2017-03-31 18:33 - 2017-03-31 18:33 - 00000956 _____ C:\Program Files (x86).lnk
    2017-03-31 18:33 - 2017-03-31 18:33 - 00000950 _____ C:\Users\Daniel\Desktop\kag321 MH.lnk
    2017-03-31 18:33 - 2017-03-31 18:33 - 00000948 _____ C:\Users\Daniel\Desktop\Programy.lnk
    2017-03-31 18:33 - 2017-03-31 18:33 - 00000944 _____ C:\Program Files.lnk
    2017-03-31 18:33 - 2017-03-31 18:33 - 00000938 _____ C:\Riot Games.lnk
    2017-03-31 18:33 - 2017-03-31 18:33 - 00000938 _____ C:\AdwCleaner.lnk
    2017-03-31 18:33 - 2017-03-31 18:33 - 00000936 _____ C:\sielu_cfg.lnk
    2017-03-31 18:33 - 2017-03-31 18:33 - 00000934 _____ C:\PerfLogs.lnk
    2017-03-31 18:33 - 2017-03-31 18:33 - 00000934 _____ C:\download.lnk
    2017-03-31 18:33 - 2017-03-31 18:33 - 00000934 _____ C:\cycu_cfg.lnk
    2017-03-31 18:33 - 2017-03-31 18:33 - 00000932 _____ C:\Windows.lnk
    2017-03-31 18:33 - 2017-03-31 18:33 - 00000930 _____ C:\sh4ldr.lnk
    2017-03-31 18:33 - 2017-03-31 18:33 - 00000928 _____ C:\Users.lnk
    2017-03-31 18:33 - 2017-03-31 18:33 - 00000928 _____ C:\Intel.lnk
    2017-03-31 18:33 - 2017-03-31 18:33 - 00000926 _____ C:\rads.lnk
    2017-03-31 18:33 - 2017-03-31 18:33 - 00000926 _____ C:\Logs.lnk
    2017-03-31 18:33 - 2017-03-31 18:33 - 00000924 _____ C:\AMD.lnk
    2017-03-31 18:33 - 2017-03-31 18:29 - 00077824 ____H C:\a4e37e7294e19f5200.exe
    2017-03-31 18:29 - 2017-03-31 18:34 - 02610520 _____ C:\Users\Daniel\AppData\Roaming\608181365
    2017-04-03 21:09 - 2016-09-20 17:37 - 00000000 ___HD C:\AdwCleaner
    EmptyTemp:

    W FRST wybierz Napraw.

    0
  • #5 03 Kwi 2017 21:35
    daniuello
    Poziom 7  

    Zrobiłem tak jak powiedzialeś ale wciąż jest ten sam błąd. A w katalogu mam plik mia.lib

    0
  • #7 03 Kwi 2017 21:45
    daniuello
    Poziom 7  

    Da się usunąc te wirusy za pomocą tego programu Mb czy musze ręcznie?

    0
  • #8 03 Kwi 2017 21:49
    Kolobos
    Spec od komputerów

    Co chcesz usuwac recznie?

    Zrob to co napisalem.

    0
  • #10 03 Kwi 2017 22:04
    Kolobos
    Spec od komputerów

    Uruchomiles dwa podane fixy?

    Czy problem nadal wystepuje?

    Nowy Fixlist.txt dla FRST:
    Task: {C0CDF0C7-37D0-47E4-B2DF-82A3AE8C14B3} - \Driver Booster SkipUAC (Daniel) -> Brak pliku <==== UWAGA
    2017-04-01 15:34 - 2017-04-01 15:37 - 00000063 _____ C:\Users\Daniel\AppData\Local\mst.bob
    2017-03-31 18:31 - 2017-03-31 18:31 - 00016664 _____ C:\Users\Daniel\PO7BC-0DXXR-TAGTO-THATX-XZFHT-XAFYY.html

    0
  • #12 03 Kwi 2017 22:09
    Kolobos
    Spec od komputerów

    Jaka masz ustawiona domyslna akcje po klikneciu na folder?

    Co dokladnie sie otwiera po klinieciu? Mozesz zamiescic screen?

    Dotyczy to wszystkich folderow?

    System zainfekowales juz po utworzeniu punktu przywracania systemu?
    > 01-04-2017 18:15:37 Zaplanowany punkt kontrolny

    0
  • #13 03 Kwi 2017 22:14
    daniuello
    Poziom 7  

    Jeśli chodzi o akcje domyślną to nw dokładnie o co chodzi jedynie znalazłem to przy
    "C:\Windows\system32\cmd.exe /c start explorer.exe "Gry" & type "a4e37e7294e19f5200.exe" > "%temp%\a4e37e7294e19f5200.exe" && "%temp%\a4e37e7294e19f5200.exe" Każdy folder ma taki element docelowy przypisany...

    Cięzko dać screena ponieważ problem ten występuje od czasu do czasu. Bywa tka że otwieram folder i nie wyskakuje okienko cmd a np za 10 otworzeniem włącza się i folder i cmd. Nie wiem czy to wina właśnie tego wirusa ale zauważyłem również że każdy folder otwiera się w nowej tak jakby karcie po kliknięciu.

    0
  • #15 03 Kwi 2017 22:27
    daniuello
    Poziom 7  

    Foldery cały czas otwierają się w nowych oknach oraz ich element docelowy wciąż wskazuje na cmd jak 2 posty wyżej.

    0
  • Pomocny post
    #16 03 Kwi 2017 22:38
    Kolobos
    Spec od komputerów

    Uruchom regedit i wyeksportuj do pliku
    HKEY_CLASSES_ROOT\Directory
    oraz:
    HKEY_CLASSES_ROOT\Folder
    i zamiesc oba w zalaczniku.

    Odpowiedz na pytania:
    Dotyczy to wszystkich folderow?

    System zainfekowales juz po utworzeniu punktu przywracania systemu?
    > 01-04-2017 18:15:37 Zaplanowany punkt kontrolny

    0
  • #17 04 Kwi 2017 15:01
    daniuello
    Poziom 7  

    DObra problem rozwiązany zrobiłem po prostu backup systemu i wszystko działa :)
    Dzięki wielkie za pomoc Kolobos

    0