junior88 Opublikowano 12 Października 2012 Zgłoś Udostępnij Opublikowano 12 Października 2012 Witam Od czasu pożyczenia kumplowi pendrive, mam problem z pendrivem i dyskiem zewnętrznym, tzn na w/w urządzeniach widoczne są skróty zamiast folderów, po usunięciu któregokolwiek skrótu miejsce na pendrive czy dysku nie zmniejsza się, więc przypuszczam że dane zawarte w tych folderach nadal są zapisane na dysku. Proszę o pomoc w odzyskaniu danych. Z historii tematów podobnych zapoznanych przeze mnie załączam potrzebne pliki. Będę wdzięczny za pomoc. UsbFix.txtPobieranie informacji ... Extras.TxtPobieranie informacji ... OTL.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 12 Października 2012 Zgłoś Udostępnij Opublikowano 12 Października 2012 Oczywiście dane są na dysku, tylko zostały ukryte przez atrybuty HS (uktyty systemowy). Widziałbyś je, gdybyś skonfigurował określone opcje w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok: zaznaczone Pokaż ukryte pliki i foldery + odznaczone Ukryj chronione pliki systemu operacyjnego. Poza tym: w systemie działa infekcja oraz są odpadki adware Babylon. Przechodząc do usunięcia wszystkich infekcji oraz ściągania atrybutów z danych: 1. Dysk zewnętrzny musi być podpięty. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKCU..\Run: [Xjtkth] C:\Users\Junior\AppData\Roaming\Xjtkth.exe (Orleans) O4 - HKLM..\RunOnce: [] File not found IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=113480&tt=010812_rbt_3112_4&babsrc=SP_ss&mntrId=3efdd6bf000000000000001e101f36d9" :Files rd /s /q C:\$Recycle.Bin /C rd /s /q D:\$RECYCLE.BIN /C rd /s /q E:\$RECYCLE.BIN /C rd /s /q E:\RECYCLER /C attrib /d /s -s -h E:\* /C E:\*.lnk C:\user.js C:\Program Files\mozilla firefox\searchplugins\babylon.xml C:\Users\Junior\AppData\Local\JunkAtx18.bin :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 2. Firefox zabrudzony adware. Zresetuj plik preferencji. Zamknij przeglądarkę (nie może być w procesach), następnie na Pulpit przenieś ten plik: C:\Users\Junior\AppData\Roaming\mozilla\Firefox\Profiles\70xmloqh.default\prefs.js Uruchom ponownie Firefox, wygeneruje nowy czysty plik prefs.js. 3. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz USBFix z opcji Listing. . Odnośnik do komentarza
junior88 Opublikowano 12 Października 2012 Autor Zgłoś Udostępnij Opublikowano 12 Października 2012 Gdy wykonałem skrypt wszystkie programy się zamknęły a OTL sie zwiesil, ręcznie go zrestartowałem. Ten plik z mozilli przeniosłem i zrobiłem OTL razem z listing. OTL.TxtPobieranie informacji ... UsbFix.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 12 Października 2012 Zgłoś Udostępnij Opublikowano 12 Października 2012 Skrypt się zawiesił = zadania nie w pełni wykonane, pół skryptu nie przetworzone. Atrybuty nie zostały zdjęte z danych na urządzeniu plus szczątki adware nadal widoczne. 1. Powtórka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files rd /s /q C:\$Recycle.Bin /C rd /s /q D:\$RECYCLE.BIN /C rd /s /q E:\$RECYCLE.BIN /C rd /s /q E:\RECYCLER /C attrib /d /s -s -h E:\* /C C:\user.js C:\Program Files\mozilla firefox\searchplugins\babylon.xml C:\Users\Junior\AppData\Local\JunkAtx18.bin :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" Klik w Wykonaj skrypt. Tym razem bez zabijania procesów i restartu. 2. Przedstaw: log z wynikami przetwarzania skryptu (nowy skan OTL zbędny) + nowy log USBFix z opcji Listing. . Odnośnik do komentarza
junior88 Opublikowano 12 Października 2012 Autor Zgłoś Udostępnij Opublikowano 12 Października 2012 Podczas wykonywania skryptu wyskoczył błąd "cannot create file C:\Users\Junior|Downloads\cmd.bat." Wszystko działa oprócz OTL, zawieszenia.... UsbFix.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 12 Października 2012 Zgłoś Udostępnij Opublikowano 12 Października 2012 No tak, nie wykonuje się w ogóle część która bazuje na komendach CMD. Z innej strony: 1. Otwórz Notatnik i wklej w nim: attrib /d /s -s -h E:\* rd /s /q C:\$Recycle.Bin rd /s /q D:\$RECYCLE.BIN rd /s /q E:\$RECYCLE.BIN rd /s /q E:\RECYCLER del /q C:\user.js del /q "C:\Program Files\mozilla firefox\searchplugins\babylon.xml" del /q C:\Users\Junior\AppData\Local\JunkAtx18.bin reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Z prawokliku na ten plik wybierz z menu Uruchom jako Administrator. W oknie linii komend patrz czy nie ma błędów, innych niż "Odmowa dostępu" do folderu E:\System Volume Information (to normalne zachowanie). 2. Przedstaw nowy log USBFix z opcji Listing. . Odnośnik do komentarza
junior88 Opublikowano 12 Października 2012 Autor Zgłoś Udostępnij Opublikowano 12 Października 2012 Błędów żadnych w oknie lini komend, ale nie moge dostac sie do tego folderu i tu jest odmowa dostepu. a tu listing UsbFix.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 12 Października 2012 Zgłoś Udostępnij Opublikowano 12 Października 2012 junior88, do uzupełniania wypowiedzi, gdy nikt jeszcze nie odpisał, służy opcja Edytuj, zamiast pisanie posta pod postem. Sklejam. Cytat Błędów żadnych w oknie lini komend, ale nie moge dostac sie do tego folderu i tu jest odmowa dostepu. Jakiego folderu? Przecież wyraźnie mówiłam: picasso napisał(a): W oknie linii komend patrz czy nie ma błędów, innych niż "Odmowa dostępu" do folderu E:\System Volume Information (to normalne zachowanie). Foldery System Volume Information to foldery Przywracania systemu, zreplikowane na wszystkich dyskach. Domyślnie zablokowane przez uprawnienia i jest to OK. Tam się nie wchodzi. Log z USBFix: nic kompletnie nie wykonane. Nie wiem gdzie leży problem, że te jakże banalne rzeczy nie chcą się wykonać. No to po kolei komendy będziesz wklejał: 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. W linii komend wklejasz po kolei komendy (po każdej ENTER): attrib -s -h E:\Filmy attrib -s -h E:\Fotki attrib -s -h E:\instalki attrib -s -h E:\Junior attrib -s -h E:\Kynek attrib -s -h E:\LIMBO attrib -s -h E:\Mp3 attrib -s -h E:\msdownld.tmp attrib -s -h E:\Seagate attrib -s -h E:\ściągane rd /s /q C:\$Recycle.Bin rd /s /q D:\$RECYCLE.BIN rd /s /q E:\$RECYCLE.BIN rd /s /q E:\RECYCLER reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f 2. A te obiekty ręcznie skasuj z dysku: C:\user.js C:\Program Files\mozilla firefox\searchplugins\babylon.xml C:\Users\Junior\AppData\Local\JunkAtx18.bin 3. Nowy log z USBFix ... . Odnośnik do komentarza
junior88 Opublikowano 12 Października 2012 Autor Zgłoś Udostępnij Opublikowano 12 Października 2012 Przepraszam ale to mój pierwszy jakikolwiek napisany temat, zawsze szukałem podpowiedzi na forach ale nigdy sam nie dodawałem postów:/ Wracając do tematu, aby nie było już żadnych niedomówień wklejam 2 screeny z wpisywania komend i nowy log Foldery na dysku są już widoczne:) UsbFix.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 12 Października 2012 Zgłoś Udostępnij Opublikowano 12 Października 2012 1. Ominąłeś tę komendę: rd /s /q E:\RECYCLER 2. Jest problem z usunięciem Kosza z dysku C, Odmowa dostępu na podskładowej. Kolejna porcja komend do cmd Uruchomionego jako Administrator: icacls C:\$Recycle.Bin\S-1-5-18 /grant Wszyscy:F /T rd /s /q C:\$Recycle.Bin Wystarczy mi słowne potwierdzenie wykonania tych komend. . Odnośnik do komentarza
junior88 Opublikowano 12 Października 2012 Autor Zgłoś Udostępnij Opublikowano 12 Października 2012 Nadal odmowa dostępu, przy komendzie komunikat: "Liczba plikow przetworzonych pomyslnie: 0; liczba plikow ktorych przetwarzanie nie powiodlo sie: 1" Odnośnik do komentarza
picasso Opublikowano 12 Października 2012 Zgłoś Udostępnij Opublikowano 12 Października 2012 W kwestii opornego Kosza na C, wprowadź taką komendę i powiedz mi jaki z niej jest zwrot: icacls C:\$Recycle.Bin /grant Wszyscy:F /T . Odnośnik do komentarza
junior88 Opublikowano 12 Października 2012 Autor Zgłoś Udostępnij Opublikowano 12 Października 2012 C:\Windows\system32>icacls C:\$Recycle.Bin /grant Wszyscy:F /T przetworzono plik: C:\$Recycle.Bin C:\$Recycle.Bin\S-1-5-18: Odmowa dostępu Liczba plików przetworzonych pomyślnie: 1; liczba plików których przetwarzanie nie powiodło sie: 1 C:\Windows\system32>_ Odnośnik do komentarza
picasso Opublikowano 13 Października 2012 Zgłoś Udostępnij Opublikowano 13 Października 2012 Nie dawaj mi zrzutów ekranu tylko przeklejaj tekstową treść z okna cmd, łatwiej mi się to czyta (zmieniłam w Twoim poście). Wypróbuj tę kombinację (rekursywne przejmowanie na Własność w połączeniu z przyznaniem kontroli): TAKEOWN /F C:\$Recycle.Bin\S-1-5-18 /R /A icacls C:\$Recycle.Bin\S-1-5-18 /grant Wszyscy:F /T rd /s /q C:\$Recycle.Bin . Odnośnik do komentarza
junior88 Opublikowano 13 Października 2012 Autor Zgłoś Udostępnij Opublikowano 13 Października 2012 C:\Windows\system32>TAKEOWN /F C:\$Recycle.Bin\S-1-5-18 /R /A icacls C:\$Recycle .Bin\S-1-5-18 /grant Wszyscy:F /T rd /s /q C:\$Recycle.Bin BŁĄD: Nieprawidłowy argument/opcja - 'icacls'. Wpisz "TAKEOWN /?", aby zobaczyć sposób użycia. Odnośnik do komentarza
picasso Opublikowano 13 Października 2012 Zgłoś Udostępnij Opublikowano 13 Października 2012 Wg tego zwrotu wynika, że źle wkleiłeś komendy, skleiłeś je w jednej linii (co zmienia formę). Najpierw wklejasz i ENTER: TAKEOWN /F C:\$Recycle.Bin\S-1-5-18 /R /A Po tym wklejasz: icacls C:\$Recycle.Bin\S-1-5-18 /grant Wszyscy:F /T Na koniec: rd /s /q C:\$Recycle.Bin . Odnośnik do komentarza
junior88 Opublikowano 13 Października 2012 Autor Zgłoś Udostępnij Opublikowano 13 Października 2012 C:\Windows\system32>TAKEOWN /F C:\$Recycle.Bin\S-1-5-18 /R /A POWODZENIE: Plik (lub folder): "C:\$Recycle.Bin\S-1-5-18" należy teraz do grupy administratorów. Nie masz uprawnień do czytania zawartości katalogu "C:\$Recycle.Bin\S-1-5-18". Czy chcesz zastąpić uprawnienia katalogu uprawnieniami umożliwiającymi pełną kontrolę ["Y" - YES (tak), "N" - NO (nie) lub "C" - CANCEL (anuluj)? y Czy chcesz zastąpić uprawnienia katalogu uprawnieniami umożliwiającymi pełną kontrolę ["Y" - YES (tak), "N" - NO (nie) lub "C" - CANCEL (anuluj)? y C:\Windows\system32>icacls C:\$Recycle.Bin\S-1-5-18 /grant Wszyscy:F /T przetworzono plik: C:\$Recycle.Bin\S-1-5-18 C:\$Recycle.Bin\S-1-5-18\$I635H4R: Odmowa dostępu. Liczba plików przetworzonych pomyślnie: 1; liczba plików, których przetwarzanie nie powiodło się: 1. C:\Windows\system32>rd /s /q C:\$Recycle.Bin C:\$Recycle.Bin\S-1-5-18\$R635H4R - Odmowa dostępu. C:\$Recycle.Bin\S-1-5-18\$RSEDOKN - Odmowa dostępu. C:\$Recycle.Bin\S-1-5-18\$RTNBXS5 - Odmowa dostępu. Odnośnik do komentarza
picasso Opublikowano 13 Października 2012 Zgłoś Udostępnij Opublikowano 13 Października 2012 Część uprawnień została zresetowana, kolejny poziom w Koszu się uwidocznił. Należy to wykończyć. Kolejne komendy (przypominam: każda pojedynczo wklejana): TAKEOWN /F C:\$Recycle.Bin\S-1-5-18\$R635H4R /R /A TAKEOWN /F C:\$Recycle.Bin\S-1-5-18\$RSEDOKN /R /A TAKEOWN /F C:\$Recycle.Bin\S-1-5-18\$RTNBXS5 /R /A icacls C:\$Recycle.Bin\S-1-5-18\$R635H4R /grant Wszyscy:F /T icacls C:\$Recycle.Bin\S-1-5-18\$RSEDOKN /grant Wszyscy:F /T icacls C:\$Recycle.Bin\S-1-5-18\$RTNBXS5 /grant Wszyscy:F /T rd /s /q C:\$Recycle.Bin . Odnośnik do komentarza
junior88 Opublikowano 14 Października 2012 Autor Zgłoś Udostępnij Opublikowano 14 Października 2012 C:\Windows\system32>TAKEOWN /F C:\$Recycle.Bin\S-1-5-18\$R635H4R /R /A POWODZENIE: Plik (lub folder): "C:\$Recycle.Bin\S-1-5-18\$R635H4R" należy teraz do grupy administratorów. Nie masz uprawnień do czytania zawartości katalogu "C:\$Recycle.Bin\S-1-5-18\$R6 35H4R". Czy chcesz zastąpić uprawnienia katalogu uprawnieniami umożliwiającymi pełną kontrolę ["Y" - YES (tak), "N" - NO (nie) lub "C" - CANCEL (anuluj)? y Czy chcesz zastąpić uprawnienia katalogu uprawnieniami umożliwiającymi pełną kontrolę ["Y" - YES (tak), "N" - NO (nie) lub "C" - CANCEL (anuluj)? n C:\Windows\system32>TAKEOWN /F C:\$Recycle.Bin\S-1-5-18\$RSEDOKN /R /A POWODZENIE: Plik (lub folder): "C:\$Recycle.Bin\S-1-5-18\$RSEDOKN" należy teraz do grupy administratorów. Nie masz uprawnień do czytania zawartości katalogu "C:\$Recycle.Bin\S-1-5-18\$RS EDOKN". Czy chcesz zastąpić uprawnienia katalogu uprawnieniami umożliwiającymi pełną kontrolę ["Y" - YES (tak), "N" - NO (nie) lub "C" - CANCEL (anuluj)? n C:\Windows\system32>TAKEOWN /F C:\$Recycle.Bin\S-1-5-18\$RTNBXS5 /R /A POWODZENIE: Plik (lub folder): "C:\$Recycle.Bin\S-1-5-18\$RTNBXS5" należy teraz do grupy administratorów. Nie masz uprawnień do czytania zawartości katalogu "C:\$Recycle.Bin\S-1-5-18\$RT NBXS5". Czy chcesz zastąpić uprawnienia katalogu uprawnieniami umożliwiającymi pełną kontrolę ["Y" - YES (tak), "N" - NO (nie) lub "C" - CANCEL (anuluj)? n C:\Windows\system32>icacls C:\$Recycle.Bin\S-1-5-18\$R635H4R /grant Wszyscy:F /T przetworzono plik: C:\$Recycle.Bin\S-1-5-18\$R635H4R C:\$Recycle.Bin\S-1-5-18\$R635H4R\Fuel.txt: Odmowa dostępu. Liczba plików przetworzonych pomyślnie: 1; liczba plików, których przetwarzanie nie powiodło się: 1. C:\Windows\system32>icacls C:\$Recycle.Bin\S-1-5-18\$RSEDOKN /grant Wszyscy:F /T przetworzono plik: C:\$Recycle.Bin\S-1-5-18\$RSEDOKN Liczba plików przetworzonych pomyślnie: 1; liczba plików, których przetwarzanie nie powiodło się: 0. C:\Windows\system32>icacls C:\$Recycle.Bin\S-1-5-18\$RTNBXS5 /grant Wszyscy:F /T przetworzono plik: C:\$Recycle.Bin\S-1-5-18\$RTNBXS5 C:\$Recycle.Bin\S-1-5-18\$RTNBXS5\Fuel.txt: Odmowa dostępu. Liczba plików przetworzonych pomyślnie: 1; liczba plików, których przetwarzanie nie powiodło się: 1. C:\Windows\system32>rd /s /q C:\$Recycle.Bin C:\$Recycle.Bin\S-1-5-18\$R635H4R\Profiles - Odmowa dostępu. C:\$Recycle.Bin\S-1-5-18\$RTNBXS5\Profiles - Odmowa dostępu. Odnośnik do komentarza
picasso Opublikowano 15 Października 2012 Zgłoś Udostępnij Opublikowano 15 Października 2012 No tak, ale odpowiedziałeś błędnie: Czy chcesz zastąpić uprawnienia katalogu uprawnieniami umożliwiającymi pełną kontrolę ["Y" - YES (tak), "N" - NO (nie) lub "C" - CANCEL (anuluj)? n Przy pytaniach o zastępowanie uprawnień należy to potwierdzić, czyli odpowiedzieć y i ENTER. Powtarzaj zadanie... . Odnośnik do komentarza
junior88 Opublikowano 15 Października 2012 Autor Zgłoś Udostępnij Opublikowano 15 Października 2012 No tak, ale gdy dawałem y to pytanie się powtarzało tak jakby wogole to nie zadziałało... Odnośnik do komentarza
picasso Opublikowano 15 Października 2012 Zgłoś Udostępnij Opublikowano 15 Października 2012 Jeżeli pytanie się powtarza, należy powtórzyć odpowiedź. Odnośnik do komentarza
junior88 Opublikowano 15 Października 2012 Autor Zgłoś Udostępnij Opublikowano 15 Października 2012 a ile razy mam powtorzyc? bo moge tak w nieskonczonosc... powtórzyłem, chyba się udało po ostatniej komendzie nie było już żadnej odpowiedzi. Odnośnik do komentarza
picasso Opublikowano 15 Października 2012 Zgłoś Udostępnij Opublikowano 15 Października 2012 Czy wykonałeś wszystkie poniższe (?). picasso napisał(a): TAKEOWN /F C:\$Recycle.Bin\S-1-5-18\$R635H4R /R /ATAKEOWN /F C:\$Recycle.Bin\S-1-5-18\$RSEDOKN /R /A TAKEOWN /F C:\$Recycle.Bin\S-1-5-18\$RTNBXS5 /R /A icacls C:\$Recycle.Bin\S-1-5-18\$R635H4R /grant Wszyscy:F /T icacls C:\$Recycle.Bin\S-1-5-18\$RSEDOKN /grant Wszyscy:F /T icacls C:\$Recycle.Bin\S-1-5-18\$RTNBXS5 /grant Wszyscy:F /T rd /s /q C:\$Recycle.Bin . Odnośnik do komentarza
junior88 Opublikowano 15 Października 2012 Autor Zgłoś Udostępnij Opublikowano 15 Października 2012 Tak, wszystkie poniższe zostały wpisane i za każdym razem potwierdzane "y" Odnośnik do komentarza
Rekomendowane odpowiedzi