- Joined
- Dec 10, 2011
- Location
- Cádiz (Spain)
Anyone has any idea what they might be? These folders just popped and I can't install/uninstall anything (MSI error 2033), nor can I write to %WINDIR%. Looks like some sort of virus. Will upload any logs/HiJackThis/Combofix if required.
It also happened a few days ago. I ran a System Restore and they disappeared and everything seemed to work perfectly, but here they are again.
Thanks for reading!
tree output for _MEI28242 folder
tree output for _MEI43402
As you can see there are some Python files, but I have no idea what can they be for.
The files seem to be for Google Drive (icons, resources, etc, are from Google Drive), but it's a little bit suspicious that I can't uninstall any program nor run Steam nor write to %WINDIR% when these files appear.
KAV11 says my computer is clean. Will try to go Safe Mode and run MBAM.
EDIT: Can't run HiJackThis, Run-time error '481', invalid picture.
It also happened a few days ago. I ran a System Restore and they disappeared and everything seemed to work perfectly, but here they are again.
Thanks for reading!
tree output for _MEI28242 folder
Code:
Folder PATH listing for volume Windows 7 SSD
Volume serial number is 280C-91E1
C:\_MEI28242
│ bz2.pyd
│ main.exe.manifest
│ mfc90.dll
│ mfc90u.dll
│ mfcm90.dll
│ mfcm90u.dll
│ pyexpat.pyd
│ pysqlite2._sqlite.pyd
│ python26.dll
│ pythoncom26.dll
│ PyWinTypes26.dll
│ select.pyd
│ unicodedata.pyd
│ win32api.pyd
│ win32com.shell.shell.pyd
│ win32crypt.pyd
│ win32event.pyd
│ win32evtlog.pyd
│ win32file.pyd
│ win32inet.pyd
│ win32pdh.pyd
│ win32pipe.pyd
│ win32process.pyd
│ win32trace.pyd
│ win32ui.pyd
│ win32wnet.pyd
│ windows._cacheinvalidation.pyd
│ wx._controls_.pyd
│ wx._core_.pyd
│ wx._gdi_.pyd
│ wx._html2.pyd
│ wx._misc_.pyd
│ wx._windows_.pyd
│ wx._wizard.pyd
│ wxbase293u_net_vc.dll
│ wxbase293u_vc.dll
│ wxmsw293u_adv_vc.dll
│ wxmsw293u_core_vc.dll
│ wxmsw293u_html_vc.dll
│ wxmsw293u_webview_vc.dll
│ _ctypes.pyd
│ _elementtree.pyd
│ _hashlib.pyd
│ _socket.pyd
│ _ssl.pyd
│ _win32sysloader.pyd
│
├───resources
│ ├───i18n
│ │ └───locale
│ │ ├───bg
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───ca
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───cs
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───da
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───de
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───el
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───en
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───en_GB
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───en_US
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───es
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───fi
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───fr
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───hi
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───hr
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───hu
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───id
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───it
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───iw
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───ja
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───ko
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───lt
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───lv
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───nl
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───no
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───pl
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───pt
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───pt_BR
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───pt_PT
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───ro
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───ru
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───sk
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───sl
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───sr
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───sv
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───th
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───tr
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───uk
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───vi
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───zh
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───zh-Hans
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───zh-Hant
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───zh_CN
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───zh_HK
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ └───zh_TW
│ │ └───LC_MESSAGES
│ │ syncclient.mo
│ │
│ └───images
│ │ drive-logo.png
│ │ exclaim.png
│ │ file.png
│ │ folder-mac.icns
│ │ folder-winseven.ico
│ │ folder-winxp.ico
│ │ folder.png
│ │ gdoc.icns
│ │ gdoc.ico
│ │ gdraw.icns
│ │ gdraw.ico
│ │ gform.icns
│ │ gform.ico
│ │ glink.icns
│ │ glink.ico
│ │ gsheet.icns
│ │ gsheet.ico
│ │ gslides.icns
│ │ gslides.ico
│ │ gtable.icns
│ │ gtable.ico
│ │ image_resources.py
│ │ image_resources.pyo
│ │ info1-mac.png
│ │ info1-windows7.png
│ │ info1-windowsxp.png
│ │ info2-default.png
│ │ info2-mac.png
│ │ info2-win7.png
│ │ info2-winxp.png
│ │ mac-animate1-inverse.png
│ │ mac-animate1.png
│ │ mac-animate2-inverse.png
│ │ mac-animate2.png
│ │ mac-animate3-inverse.png
│ │ mac-animate3.png
│ │ mac-animate4-inverse.png
│ │ mac-animate4.png
│ │ mac-animate5-inverse.png
│ │ mac-animate5.png
│ │ mac-animate6-inverse.png
│ │ mac-animate6.png
│ │ mac-animate7-inverse.png
│ │ mac-animate7.png
│ │ mac-animate8-inverse.png
│ │ mac-animate8.png
│ │ mac-error-inverse.png
│ │ mac-error.png
│ │ mac-inactive-inverse.png
│ │ mac-inactive.png
│ │ mac-normal-inverse.png
│ │ mac-normal.png
│ │ mac-paused-inverse.png
│ │ mac-paused.png
│ │ menu_warning.png
│ │ sharedfolder-mac.icns
│ │ sharedfolder-winseven.ico
│ │ sharedfolder-winxp.ico
│ │ shareguyicon.png
│ │ sync.icns
│ │ sync.ico
│ │ sync.png
│ │ sync_128.png
│ │ toprighticon.png
│ │ win-animate1.png
│ │ win-animate2.png
│ │ win-animate3.png
│ │ win-animate4.png
│ │ win-animate5.png
│ │ win-animate6.png
│ │ win-animate7.png
│ │ win-animate8.png
│ │ win-normal.png
│ │ win7-error.png
│ │ win7-inactive.png
│ │ win7-paused.png
│ │ winxp-error.png
│ │ winxp-inactive.png
│ │ winxp-paused.png
│ │ __init__.py
│ │ __init__.pyo
│ │
│ └───overlays
│ Blacklisted.ico
│ Shared.ico
│ Synced.ico
│ Syncing.ico
│
└───support
└───gen_py
__init__.pytree output for _MEI43402
Code:
Folder PATH listing for volume Windows 7
Volume serial number is 280C-91E1
C:\_MEI43402
│ bz2.pyd
│ main.exe.manifest
│ mfc90.dll
│ mfc90u.dll
│ mfcm90.dll
│ mfcm90u.dll
│ pyexpat.pyd
│ pysqlite2._sqlite.pyd
│ python26.dll
│ pythoncom26.dll
│ PyWinTypes26.dll
│ select.pyd
│ unicodedata.pyd
│ win32api.pyd
│ win32com.shell.shell.pyd
│ win32crypt.pyd
│ win32event.pyd
│ win32evtlog.pyd
│ win32file.pyd
│ win32inet.pyd
│ win32pdh.pyd
│ win32pipe.pyd
│ win32process.pyd
│ win32trace.pyd
│ win32ui.pyd
│ win32wnet.pyd
│ windows._cacheinvalidation.pyd
│ wx._controls_.pyd
│ wx._core_.pyd
│ wx._gdi_.pyd
│ wx._html2.pyd
│ wx._misc_.pyd
│ wx._windows_.pyd
│ wx._wizard.pyd
│ wxbase293u_net_vc.dll
│ wxbase293u_vc.dll
│ wxmsw293u_adv_vc.dll
│ wxmsw293u_core_vc.dll
│ wxmsw293u_html_vc.dll
│ wxmsw293u_webview_vc.dll
│ _ctypes.pyd
│ _elementtree.pyd
│ _hashlib.pyd
│ _socket.pyd
│ _ssl.pyd
│ _win32sysloader.pyd
│
├───resources
│ ├───i18n
│ │ └───locale
│ │ ├───bg
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───ca
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───cs
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───da
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───de
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───el
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───en
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───en_GB
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───en_US
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───es
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───fi
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───fr
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───hi
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───hr
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───hu
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───id
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───it
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───iw
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───ja
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───ko
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───lt
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───lv
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───nl
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───no
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───pl
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───pt
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───pt_BR
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───pt_PT
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───ro
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───ru
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───sk
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───sl
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───sr
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───sv
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───th
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───tr
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───uk
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───vi
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───zh
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───zh-Hans
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───zh-Hant
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───zh_CN
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ ├───zh_HK
│ │ │ └───LC_MESSAGES
│ │ │ syncclient.mo
│ │ │
│ │ └───zh_TW
│ │ └───LC_MESSAGES
│ │ syncclient.mo
│ │
│ └───images
│ │ drive-logo.png
│ │ exclaim.png
│ │ file.png
│ │ folder-mac.icns
│ │ folder-winseven.ico
│ │ folder-winxp.ico
│ │ folder.png
│ │ gdoc.icns
│ │ gdoc.ico
│ │ gdraw.icns
│ │ gdraw.ico
│ │ gform.icns
│ │ gform.ico
│ │ glink.icns
│ │ glink.ico
│ │ gsheet.icns
│ │ gsheet.ico
│ │ gslides.icns
│ │ gslides.ico
│ │ gtable.icns
│ │ gtable.ico
│ │ image_resources.py
│ │ image_resources.pyo
│ │ info1-mac.png
│ │ info1-windows7.png
│ │ info1-windowsxp.png
│ │ info2-default.png
│ │ info2-mac.png
│ │ info2-win7.png
│ │ info2-winxp.png
│ │ mac-animate1-inverse.png
│ │ mac-animate1.png
│ │ mac-animate2-inverse.png
│ │ mac-animate2.png
│ │ mac-animate3-inverse.png
│ │ mac-animate3.png
│ │ mac-animate4-inverse.png
│ │ mac-animate4.png
│ │ mac-animate5-inverse.png
│ │ mac-animate5.png
│ │ mac-animate6-inverse.png
│ │ mac-animate6.png
│ │ mac-animate7-inverse.png
│ │ mac-animate7.png
│ │ mac-animate8-inverse.png
│ │ mac-animate8.png
│ │ mac-error-inverse.png
│ │ mac-error.png
│ │ mac-inactive-inverse.png
│ │ mac-inactive.png
│ │ mac-normal-inverse.png
│ │ mac-normal.png
│ │ mac-paused-inverse.png
│ │ mac-paused.png
│ │ menu_warning.png
│ │ sharedfolder-mac.icns
│ │ sharedfolder-winseven.ico
│ │ sharedfolder-winxp.ico
│ │ shareguyicon.png
│ │ sync.icns
│ │ sync.ico
│ │ sync.png
│ │ sync_128.png
│ │ toprighticon.png
│ │ win-animate1.png
│ │ win-animate2.png
│ │ win-animate3.png
│ │ win-animate4.png
│ │ win-animate5.png
│ │ win-animate6.png
│ │ win-animate7.png
│ │ win-animate8.png
│ │ win-normal.png
│ │ win7-error.png
│ │ win7-inactive.png
│ │ win7-paused.png
│ │ winxp-error.png
│ │ winxp-inactive.png
│ │ winxp-paused.png
│ │ __init__.py
│ │ __init__.pyo
│ │
│ └───overlays
│ Blacklisted.ico
│ Shared.ico
│ Synced.ico
│ Syncing.ico
│
└───support
└───gen_py
__init__.pyAs you can see there are some Python files, but I have no idea what can they be for.
The files seem to be for Google Drive (icons, resources, etc, are from Google Drive), but it's a little bit suspicious that I can't uninstall any program nor run Steam nor write to %WINDIR% when these files appear.
KAV11 says my computer is clean. Will try to go Safe Mode and run MBAM.
EDIT: Can't run HiJackThis, Run-time error '481', invalid picture.
Last edited: