trader5 Opublikowano 15 Października 2012 Zgłoś Udostępnij Opublikowano 15 Października 2012 Witam, Proszę o pomoc z odzyskaniem dostępu do danych na dysku zewnętrznym. Wszystkie foldery funkcjonują jako skróty ze ścieżką do dysku systemowego i teoretycznie nie ma na dysku zew. żadnych danych, natomiast po sprawdzeniu pojemności dysku okazuje się, że prawie 700GB jest zajęte - podobnie wskazują również efekty skanu programem antywirusowym. Podczas skanowania antywir AVG znalazł na dysku zewnętrznym i przeniósł do kwarantanny plik e621ca05.exe, który zidentyfikował jako Trojan Generic29.cfre). Niestety unieszkodliwienie wirusa nie przyniosło rezultatów w postaci odzyskania dostępu do danych (nadal wszystkie foldery na zewnętrznym dysku Q: funkcjonują jako skróty). Załączam logi OTL, Extras oraz GMER (tworząc log za pomocą GMER oznaczyłem dysk systemowy oraz zewnętrzny dysk Q:). Mam wrażenie, że z tych logów nic nie wynika - nie pokazują żadnej infekcji... Kilka dni temu dałem się złapać w idiotyczny sposób na infekcję przesyłaną za pośrednictwem Skype'a (wiadomość od osoby z kontaktów "zobacz swój profil itp." + link do pliku wykonywalnego) i otworzyłem przesłany (jak się potem okazało wysłany bezwiednie) plik imitujący plik instalacyjny Skype. Program antywirusowy automatycznie wykrył zagrożenie usuwając wirusy (niestety nie posiadam żadnego śladu po dokładnych nazwach infekcji w rejestrze skanowań AVG). Obawiam się, że obecne problemy mogą być kontynuacją tej sytuacji. Gdzieś w sieci wyczytałem, że niekiedy program antywirusowy może blokować dostęp do danych, zaś usunięcie zawirusowanego pliku może automatycznie prowadzić do skasowania danych w folderze/partycji, gdzie znaleziono infekcję. Załączam też wyniki działania automatycznej ochrony AVG. Będę wdzięczny za zainteresowanie się tematem i udzielenie wskazówek, jak dalej działać. Extras.Txt GMER.txt OTL.Txt ochrona AVG.txt Odnośnik do komentarza
picasso Opublikowano 15 Października 2012 Zgłoś Udostępnij Opublikowano 15 Października 2012 Poproszę o log USBFix z opcji Listing wytworzony przy podpiętym urządzeniu. Odnośnik do komentarza
trader5 Opublikowano 15 Października 2012 Autor Zgłoś Udostępnij Opublikowano 15 Października 2012 Załączam: UsbFix.txt Odnośnik do komentarza
picasso Opublikowano 15 Października 2012 Zgłoś Udostępnij Opublikowano 15 Października 2012 W systemie są ślady infekcji (oraz adware), na urządzeniu zaś widzę to co opisujesz. 1. Przez Panel sterowania odinstaluj adware vShare plugin 1.3. Otwórz Firefox i w Dodatkach powtórz deinstalację vShare. 2. Dysk zewnętrzny musi być podpięty, zakładam że nadal jest mapowany pod literą Q. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files H:\Documents and Settings\Greg\Dane aplikacji\Ithezun H:\Documents and Settings\Greg\Dane aplikacji\58B.exe H:\Documents and Settings\Greg\Dane aplikacji\Mozilla\Firefox\Profiles\49e5junv.default\searchplugins\askcom.xml H:\Documents and Settings\Greg\Dane aplikacji\Mozilla\Firefox\Profiles\49e5junv.default\searchplugins\daemon-search.xml H:\Documents and Settings\Greg\Dane aplikacji\Mozilla\Firefox\Profiles\49e5junv.default\searchplugins\web-search.xml H:\Documents and Settings\Greg\Dane aplikacji\Mozilla\Firefox\Profiles\49e5junv.default\extensions\{dd05fd3d-18df-4ce4-ae53-e795339c5f01}.xpi H:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll Q:\AUTORUN.FCB Q:\*.lnk attrib /d /s -s -h Q:\* /C rd /s /q Q:\$RECYCLE.BIN /C rd /s /q Q:\RECYCLER /C rd /s /q C:\RECYCLER /C rd /s /q D:\Recycled /C rd /s /q E:\Recycled /C rd /s /q F:\Recycled /C rd /s /q H:\RECYCLER /C rd /s /q I:\RECYCLER /C :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :OTL FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Web Search..." FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q=" IE - HKU\S-1-5-21-1547161642-1123561945-725345543-1003\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = "http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp" IE - HKU\S-1-5-21-1547161642-1123561945-725345543-1003\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=SPC2&o=15000&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=PV&apn_dtid=YYYYYYYYPL&apn_uid=107DDFC5-0A2E-4D26-8E30-851B87220EFC&apn_sauid=800DCAE1-01C5-4F6F-ABCF-26C5DF395F77" O3 - HKU\S-1-5-21-1547161642-1123561945-725345543-1003\..\Toolbar\WebBrowser: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found. O4 - HKLM..\Run: [jswtrayutil] "H:\Program Files\NETGEAR\WNA1100\jswtrayutil.exe" File not found O4 - HKU\S-1-5-21-1547161642-1123561945-725345543-1003..\Run: [{DCF5AA17-D04F-7D68-E778-867D98EA3E9C}] "H:\Documents and Settings\Greg\Dane aplikacji\Ithezun\zaymid.exe" File not found O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 3. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + USBFix z opcji Listing. . Odnośnik do komentarza
trader5 Opublikowano 16 Października 2012 Autor Zgłoś Udostępnij Opublikowano 16 Października 2012 W załączeniu przesyłam pliki z logami po wykonaniu opisanych operacji. Wygląda na to, że działa Wszystko chyba wróciło na swoje miejsce, ale żadnych plików z dysku zewnętrznego (mapowanego pod Q:) jeszcze nie uruchamiałem, bo nie wiem, czy nie trzeba jeszcze czegoś posprzątać na zakończenie. OTL.Txt UsbFix.txt Odnośnik do komentarza
picasso Opublikowano 16 Października 2012 Zgłoś Udostępnij Opublikowano 16 Października 2012 Zadania wykonane. 1. Drobna poprawka na odpadki vShare. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O2 - BHO: (IE5BarLauncherBHO Class) - {78F3A323-798E-4AEA-9A57-88F4B05FD5DD} - H:\Program Files\StartSearch plugin\BarLcher.dll File not found O3 - HKLM\..\Toolbar: (VShareToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - H:\Program Files\StartSearch plugin\BarLcher.dll File not found O3 - HKU\S-1-5-21-1547161642-1123561945-725345543-1003\..\Toolbar\WebBrowser: (VShareToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - H:\Program Files\StartSearch plugin\BarLcher.dll File not found Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. W ramach kosmetyki urządzeń możesz także skasować te zestawy z dysków C + Q: [08/05/2009 - 21:01:59 | SHD ] C:\found.000[29/07/2009 - 07:03:05 | SHD ] C:\found.001 Odpadki po pracy checkdiska. [04/09/2011 - 11:51:26 | A | 89] C:\AUTORUN.INF[14/04/2008 - 22:51:50 | A | 28672] C:\setupSNK.exe[04/09/2011 - 11:51:26 | D ] C:\SMRTNTKY [04/09/2011 - 11:36:36 | N | 89] Q:\AUTORUN.INF[14/04/2008 - 22:51:50 | A | 28672] Q:\setupSNK.exe[04/09/2011 - 11:36:36 | D ] Q:\SMRTNTKY Obiekty kreatora sieci bezprzewodowej: KB878475. [06/01/2012 - 19:01:10 | D ] Q:\720d1c5f4e30de000736c4[26/10/2010 - 20:42:54 | D ] Q:\93e8ca568071cecd619e979b[26/10/2010 - 20:42:44 | D ] Q:\d937e193f329b6adbc1d Foldery odpadkowe po aktualizacjach Windows. Domyślnie są zablokowane przez uprawnienia. Przed podjęciem się usuwania należy przejąć foldery na Własność + ustawić dla swojego konta Pełną kontrolę. Wytyczne: KLIK. 3. Porządki po narzędziach: odinstaluj USBFix, w OTL uruchom Sprzątanie. 4. Wyczyść foldery Przywracania systemu: KLIK. 5. Na wszelki wypadek zrób jeszcze dodatkowy skan za pomocą Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport. . Odnośnik do komentarza
trader5 Opublikowano 16 Października 2012 Autor Zgłoś Udostępnij Opublikowano 16 Października 2012 Ok. Zastosowałem się po kolei do wszystkich punktów. Wszystko działa, jak należy. MBAM zwrócił jeszcze 4 wpisy w rejestrze odnośnie Vshare - skasowałem je, wykonałem ponowny skan - tym razem dostałem info, że nie wykryto żadnych zagrożeń. Dla pewności opróżniłem również folder Backup files na dysku zewnętrznym. Wielkie dzięki i moje wyrazy szczerego uznania Jestem pod wrażeniem... Temat do zamknięcia. Odnośnik do komentarza
picasso Opublikowano 16 Października 2012 Zgłoś Udostępnij Opublikowano 16 Października 2012 Na zakończenie wykonaj podstawowe aktualizacje: KLIK. Twój log notuje: Internet Explorer (Version = 7.0.5730.13) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{549197A2-8484-426C-814F-81A6535A24D6}" = Foxit Reader"{58B785A2-D2CA-40AA-AE89-FCC49326CDC4}" = OpenOffice.org 3.2"ENTERPRISE" = Microsoft Office Enterprise 2007 ----> doinstaluj pakiet SP3"Gadu-Gadu" = Gadu-Gadu 7.7 Gadu-Gadu 7.7 też zakreślam ze względu na: brak pełnej obsługi własnej sieci + niski poziom bezpieczeństwa (nieszyfrowane łączenia). Zamiennie polecam nowoczesną alternatywę z obsługą sieci Gadu: WTW. Lepsza obsługa gadu niż w GG7, nowsza wersja protokołu obsługiwana. Pełny opis komunikatora: KLIK. . Odnośnik do komentarza
Rekomendowane odpowiedzi