Mappen op USB stick zijn snelkoppelingen geworden

Status
Niet open voor verdere reacties.

toinevh

Nieuwe gebruiker
Lid geworden
29 nov 2010
Berichten
2
Opeens zijn de mappen die ik op een USB-stick had snelkoppelingen geworden (waarschijnlijk door een inmiddels verwijderd virus) en deze snelkoppelingen kan ik niet openen. Bij eigenschappen staat als doel:
%windir%\system32\cmd.exe /c "start %cd%RECYCLER\csrss73.exe&&%windir%\explorer.exe G:\FA-106"
Hij geeft bij het openen als message: Windows kan het bestand G:\RECYCLER\csrss73.exe niet vinden.
Ik heb de indruk dat de bestanden in de mappen nog wel bestaan (scanner vindt ze), maar ik kan er niet bij. Wat te doen?
 
Probeer eerst te scannen, om zeker te zijn dat het virus niet meer terug komt. Verder denk ik dat de mappen gewoon zijn verwijderd van je USB stick, misschien lukt het je om met het progje Recuva deze mappen met bestanden weer terug te krijgen: tutorial
 
[...]Bij eigenschappen staat als doel:
%windir%\system32\cmd.exe /c "start %cd%RECYCLER\csrss73.exe&&%windir%\explorer.exe G:\FA-106"

Ik heb het idee dat het virus activeert als je dubbelklikt op de snelkoppeling, waarna (uiteindelijk) via Verkenner de map G:\FA-106 wordt geopend.

Nu is interessant of G: inderdaad je memory-stick voorstelt én of de map G:\FA-106 je (qua naam) bekend voorkomt. Open verder eens zélf die aangegeven map in Verkenner:
[Windows-toets]r toetscombinatie -> explorer.exe G:\FA-106

(In feite speel je het laatste stuk van de snelkoppeling na).

Als daar relevante bestanden staan (oftewel dat je dan bestanden ziet van jezelf), dan moet je eens de andere 'snelkoppelingen' nalopen en kijken welke mappen dáár staan vermeld om te openen met explorer.exe. Die kun je dan op dezelfde manier openen als de G:\FA-106 map.

[Qua technische achtergrond zou het me niet verbazen dat het virus je mappen hernoemd heeft, ze heeft verborgen, en dan de originele mapnamen 'vervangen' heeft door snelkoppelingen die het virus aanroepen en daarna de hernoemde map openen in Verkenner.]

Ik geef het een goede kans dat dit werkt, zeker omdat je het er al over had dat jouw bestanden 'voorbij vliegen' tijdens een scan en dus nog aanwezig zouden moeten zijn op je memory-stick.

Succes,

Tijs.
 
Laatst bewerkt:
Het is gelukt

Dank voor de reacties. Met de tip van Tijs is het gelukt al mijn bestanden te recoveren. Briljant.
 
knovie

hallo

ik heb hetzelfde probleem als hierboven alles staan mijn bestanden op de psp go alleen staat er bij mij dit %windir%\system32\cmd.exe /c "start %cd%RECYCLER\470a1245.exe &&%windir%\explorer.exe %cd%PICTURE.

bij mij zegt hij: kan het bestand J:RECYCLER\470a1245.exe niet vinden

ook bij mij bestaan deze bestanden sowieso nog want kan de fotos en games en dergelijke nog gewoon afspelen maar niet meer er afhalen of er iets opzetten

ik heb het probleem op de hardeschijf van de psp zowel als de memorystick

iemand suggesties

Gr sander
 
@knovie: Het gaat in die snelkoppeling om het laatste stukje ná %windir%\explorer.exe
De parameter erachter is de 'echte' map waar je moet zijn voor de bestanden.

Die %cd% vertaalt zich (gegeven de foutmelding, in je voorbeeld) naar de J: schijfletter (om precies te zijn: de hoofdmap van J:, dus J:\)

Dus (in je voorbeeld) zou je bij de juiste map moeten kunnen komen in Verkenner via:
[Windows-toets]r toetscombinatie -> %cd%PICTURE
of (omdat %cd% vertaalt naar J:\):
[Windows-toets]r toetscombinatie -> J:\PICTURE

Natuurlijk zal er wat anders staan in de andere snelkoppelingen.

Het is overigens mooi dat (in je voorbeeld) 470a1245.exe niet te vinden is in de aangegeven map, want dat zou dan het virus zijn om andere schijven/sticks te besmetten. Klaarblijkelijk is dat virus-bestand door je virusscanner verwijderd, vandaar dat het niet te openen/starten is. :)

Succes,

Tijs.
 
Laatst bewerkt:
He Tijs allereerst bedankt voor je snelle reactie:thumb:

ik he geprobeert om %cd%PICTURE te openen met de [Windows-toets]r toetscombinatie
maar dan zegt hij gewoon weer kan het bestand %cd%PICTURE niet vinden en die andere combinatie ook niet overigens heb ik dat bij alle mappen (in totaal 8).

nu heb ik mijn muis even op een geinfecteerde snelkoppelingsmap gehouden en dan komt er te staan Locatie:cmd C:\Windows\system32

nu deed ik net met [Windows-toets]r explorer.exe %cd%ISO (hij opent alle besmette bestanden in mijn documenten) en dan opent die hem in mijn mijn documenten map maar daar heb ik geen van de vermiste bestanden gevonden

Gr sander
 
knovie: als je de schijfletter weet waar die snelkoppelingen op staan (bijv. als de besmette memory-stick J: als schijfletter heeft), dan dus eens proberen om ze te openen met:
[Windows-toets]r toetscombinatie -> explorer.exe J:\<mapnaam>
Natuurlijk mapnaam vervangen door wat je als mapnaam in die snelkoppeling gevonden had.

Zie ook mijn eerste posting. Staan de bestanden daar óók niet, dan weet ik het niet. Wellicht zijn ze gewist (door je antivirus of door het virus zelf etc.)

Tijs.
 
Ik heb iets gevonden: %cd% staat voor huidige map.
Dus als je die snelkoppeling niet in de hoofdmap maar in een submap vond, dan moet je het pad naar die submap erbij opnemen.
Dus (voorbeeld):
Je hebt een memory-stick met schijfletter J:. Daar staan in de hoofdmap snelkoppelingen op. De eerste bevat (in de snelkoppeling) als laatste %cd%\PICTURE dan wordt het in het Uitvoeren vakje: J:\PICTURE
Je hebt op die zelfde schijf J: een submap PICTURE, en in die map staan weer snelkoppelingen. De eerste bevat (in de snelkoppeling) als laatste %cd%MyPictures dan wordt het in het Uitvoeren vakje: J:\PICTURE\MyPictures

Meer hulp heb ik niet. Succes,

Tijs.
 
Ik heb ze gevonden

hallo:d

ik heb de bestanden gevonden met idd wat tijs zij explorer.exe J:\<mapnaam> te doen en ze kwamen te voor schijn

nu ben ik alle bestanden aan het verplaatsten en daarna de schijven gaan formatteren
of kan ik die snelkoppeling er nog van af halen op een of andere manier

Vriendelijk bedankt zover

Gr sander:D
 
In theorie kun je de snelkoppelingen verwijderen, maar ik zou zelf kiezen voor het redden van de bestanden naar een andere (vaste) schijf en daarna de besmette schijf formatteren.
Natuurlijk hoop ik dan wel dat je eigen pc verder geen besmettingen heeft, dus check daar op via je anti-virus software etc.

Fijn dat de bestanden gevonden zijn! :)

Succes,

Tijs.
 
Laatst bewerkt:
Bedankt

ik heb inmiddels de bestanden op mijn d: vast harde schijf gezet en de 2 (I: J:) verwisselbare en harde schijf geformatteerd en de bestanden terug gezet en werkt allemaal weer toppie.

ik heb mijn pc laten scannen met malwarebytes anti-malware en spy bot en hebben allebei niets gevonden.
dus lijkt mij allemaal in orde, of hebben jullie nog ander suggesties wat ik eventueel zou kunnen doen om een volgende keer te kunnen voorkomen

Gr sander
 
Topic opgeschoond omdat de oplossing al gegeven was, bovendien is er ingebroken in een opgelost oud topic.
@knovie
In het vervolg graag een eigen topic aanmaken.
Zie de voorwaarden.
 
Laatst bewerkt:
Status
Niet open voor verdere reacties.
Steun Ons

Nieuwste berichten

Terug
Bovenaan Onderaan