Skróty zamiast folderów

[malysz01]

Witam,

 

Proszę o pomoc z odzyskaniem dostępu do danych na dysku zewnętrznym.

 

Dołączam log z UsbFix Listing. Piszcie jak beda potrzebne inne pliki. Z góry dziekuję za pomoc

UsbFix.txt

[picasso]

Proszę bez skrótów. Dodaj także obowiązkowe w tym dziale logi: KLIK.

[malysz01]

Dysk zaczłą świrować we wtorek u kolegi. Myślałem że ma jakieś wirusy i wywaliło mu jakieś błędy. Jednakże u następnego kolegi dysk zachowywał się tak samo - były widoczne skróty zamiast folderów. Ogólnie dysk jest na tzw. ,,pożyczki'' więc nie jeden system widział heh. Zależy mi na danych na dysku więc mam nadzieję że przy Waszej pomocy je odzyskam.

Potrzebne dane :

Windows 7 32 bit

Extras.Txt

OTL.Txt

[picasso]

System też jest zabrudzony, ale adware.

 

1. Otwórz Firefox i w Dodatkach odinstaluj OneClickDownloader, SweetIM, Widgi Toolbar Platform, YTD Toolbar. Przez Panel sterowania odinstaluj YTD Toolbar v6.3, YourFileDownloader.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
attrib /d /s -s -h J:\* /C
rd /s /q C:\$Recycle.Bin /C
rd /s /q D:\$RECYCLE.BIN /C
rd /s /q E:\$RECYCLE.BIN /C
rd /s /q J:\$RECYCLE.BIN /C
rd /s /q J:\RECYCLER /C
J:\*.lnk
J:\q1alx.exe
J:\found.000
C:\found.000
C:\found.001
C:\user.js
C:\Users\Małysz\AppData\Roaming\Babylon
C:\Users\Małysz\AppData\Roaming\mozilla\firefox\profiles\j1u1urbu.default\searchplugins\sweetim.xml
C:\Program Files\mozilla firefox\searchplugins\babylon.xml
 
:OTL
O3 - HKLM\..\Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\RunOnce: []  File not found
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. Zaprezentuj go.

 

4. Zrób nowy log USBFix z opcji Listing oraz OTL, ale na warunkach: tylko opcja Rejestr ustawiona na Użyj filtrowania, wszystkie inne opcje na Brak + szukanie plików na Żadne, klik w Skanuj.

 

 

 

.

[malysz01]

Wszystko odinstalowane, logi ponizej. ANtywirus podczas skanowania dysku widzi pliki i foldery na nim lecz ja nie

 

Pomoże ktoś?

AdwCleanerS1.txt

UsbFix1.txt

OTL1.Txt

[picasso]

malysz01, apropos posta z treścią "Pomoże ktoś? przypominam zasady działu na temat cierpliwości: KLIK. Gdy nie ma osoby prowadzącej temat, nic taki komentarz nie przyśpieszy.

 

 

ANtywirus podczas skanowania dysku widzi pliki i foldery na nim lecz ja nie

 

Nie masz skonfigurowanych wszystkich opcji widoku, dlatego też nie widzisz i danych na urządzeniu (ukryte przez atrybuty HS). By widzieć ukryte dane, należy w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok: zaznaczyć Pokaż ukryte pliki i foldery + odznaczyć Ukryj chronione pliki systemu operacyjnego. Inna sprawa to zdejmowanie tych atrybutów, by dane były stale widoczne:

 

Skrypt się nie wykonał w części zdejmującej atrybuty HS z folderów na urządzeniu J.

 

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > po kolei wklej te komendy (po każdej ENTER):

 

attrib -s -h J:\Bajki

attrib -s -h J:\FILMY

attrib -s -h "J:\FILMY HD"

attrib -s -h J:\GRY

rd /s /q J:\$RECYCLE.BIN

rd /s /q J:\RECYCLER

 

Jeśli pojawi się tu jakiś błąd, przepisz go.

 

2. Zrób nowy log USBFix z opcji Listing.

 

 

 

.

[malysz01]

Przepraszam za niecierpliowść. Widzę wszystkie foldery które były ukryte oprócz jednego - FILMY HD. Wyskakuje mi komunikat - Format parametru jest niepoprawny. DOdaję loga z usbfix

UsbFix3.txt

[picasso]

Zapomniałam o nawiasach, ścieżka ma spacje. Czyli powinno to być:

 

attrib -s -h "J:\FILMY HD"

 

I jeszcze ten folder do odkrycia:

 

attrib -s -h J:\Rafał

 

 

 

.

[malysz01]

Działa wszystko, temat do zamknięcia. Przelew na utrzymanie forum poszedł DZIĘKUJĘ

[picasso]

Na zakończenie:

 

1. Poprawka na wyszukiwarki Internet Explorer po operacjach AdwCleaner. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
@="Bing"
"URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC"
"DisplayName"="@ieframe.dll,-12512"

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku Scal

 

2. Porządki po narzędziach: odinstaluj USBFix, w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Do aktualizacji Windows i Firefox: KLIK. Wg raporu brak SP1 + IE9 dla Windows 7 oraz Lisek w wersji:

 

Ultimate Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Mozilla Firefox 15.0.1 (x86 pl)" = Mozilla Firefox 15.0.1 (x86 pl)

 

 

.

[malysz01]

Niestety problem powrócił. Dalej mam skróty i dodatkowo jak klikam jakiś dwukrotnie to wyskakuje mi okienko z tekstem : System windows nie może odnaleźć pliku ,,J:\RECYCLER\bfbd401b.exe". Upewnij się że wpisana nazwa jest poprawna i spróbuj ponownie. Co robić bo myślę nad całkowitym formatem dysku. Dodam że podczas skanowania dysku Kasperski wykrył trojana ale nie zdążyłem zauważyć gdzie on był.

Extras.Txt

OTL.Txt

[picasso]

Skoro problem tyczy urządzenia, to powinieneś dodać log USBFix z opcji Listing.

 

1. Konsekwentnie nie widzę nic w raporcie OTL, nie ma widocznych wpisów które ewentualnie mogłyby to przeładować. Jeżeli dysk nie był nigdzie przepinany (nie był?) pod inny komputer, a problem samoistnie powrócił, to jest możliwe, że działa tu coś ukrytego. Poproszę o zaległy log z GMER.

 

2. Komentarze do logów: widzę niepożądane zmiany, czyli nowe ślady adware ... Poza tym, wcale nie zainstalowałeś SP1 dla Windows 7, a Service Pack ma właśnie łatkę na infekcje LNK.

 

 

.

[malysz01]

Dołączam log z UsbFix. Dysk był pożyczony koledze który go nigdy nie miał, poprzednio wielokrotnie był podpinany pod różne komputery i nie było z nim żadnych problemów. Wczoraj dopiero zobaczyłem Twój post, włączyłem automatryczne aktualizacje systemu Windows, zainstalowało się ich już około 100 ( a może więcej ) i ciągle się pobierają. Zainstalowałem Internet Explorer 9 i najnowszą mozille.

gmer.txt

UsbFixlisting.txt

[picasso]

W GMER nic nie ma, ale zrobiłeś go w nieprawidłowych warunkach przy czynnym sterowniku SPTD od emulacji napędów wirtualnych. Nie wykonałeś tego: KLIK. Zostaw już ten wątek.

 

DRV - [2012-03-17 19:06:48 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\drivers\sptd.sys -- (sptd)

 

 

Dysk był pożyczony koledze który go nigdy nie miał, poprzednio wielokrotnie był podpinany pod różne komputery i nie było z nim żadnych problemów.

 

Czy dobrze rozumiem, że po moim czyszczeniu dysku został on pożyczony koledze? Jeśli tak, to kolega ma zainfekowany komputer i to jego system przerzuca infekcję na Twój dysk.

 

No cóż, trzeba wyczyścić dysk od nowa, tylko że tym razem USBFix w ogóle nie pokazuje jego zawartości ... W związku z tym musisz już ręcznie to zrobić bez mojej pomocy.

 

1. W Opcjach folderów odznacz Ukryj chronione pliki systemu operacyjnego, tak by widzieć zawartość urządzenia. Przez SHIFT+DEL skasuj wszystkie skróty z urządzenia oraz katalog RECYCLER.

 

2. Natomiast by odkryć katalogi właściwe, Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > komendy modelu:

 

attrib -s -h J:\Folder

 

Pod "Folder" podstawiasz po kolei nazwy folderów na urządzeniu. Jeśli mają spacje, musisz ścieżkę ująć cudzysłowiem.

 

 

 

 

.

[malysz01]

Tak, po czyszczeniu dysk został pożyczony koledze. Jednakże widzę małą nieprawidłowość. W poprzedni poniedziałek pożyczyłem dysk koledze a po jego zwrocie zobaczyłem owe skróty, które zostały usuniete dzięki Twojej pomocy. Następnie dysk został pożyczony innemu koledze i wrócił w takim samym ,, stanie". Dysk mam już ~ 1 roku. Ni ebyło z nim nigdy żadnych problemów/wirusów itp. Aż tu nagle w ciągu tygodnia dwie takie same historie. Hmmm ciut dziwne, jednakże te osoby już ode mnie dysku nie zobaczą

[picasso]

Nie wiem co to za zbieg okoliczności, ale fakty są takie: dysk był pożyczany i za każdym razem po pożyczce wraca ze skrótami. Nawiasem mówiąc: ci koledzy mają między sobą kontakt, ich komputery w jakiś sposób się "zazębiły", też pożyczali sobie coś?

 

Tu jeszcze wykończ sobie sprawę czyszczenia szczątków adware w systemie, bo jak mówiłam znów coś namąciłeś.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKU\S-1-5-21-1646502112-1223149301-1450029489-1003\..\URLSearchHook: {EEE6C35D-6118-11DC-9C72-001320C79847} - No CLSID value found
IE - HKU\S-1-5-21-1646502112-1223149301-1450029489-1003\..\URLSearchHook: {F3FEE66E-E034-436a-86E4-9690573BEE8A} - No CLSID value found
IE - HKU\S-1-5-21-1646502112-1223149301-1450029489-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112555&babsrc=SP_ss&mntrId=8adc18e500000000000020cf30e3eb17"
IE - HKU\S-1-5-21-1646502112-1223149301-1450029489-1003\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011"
O3 - HKU\S-1-5-21-1646502112-1223149301-1450029489-1003\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\SBREdrv.sys -- (SBRE)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\AmdLLD.sys -- (AmdLLD)
[2012-10-27 16:51:12 | 000,000,000 | ---D | C] -- C:\Users\Małysz\DoctorWeb
 
:Reg
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
[HKEY_USERS\S-1-5-21-1646502112-1223149301-1450029489-1003\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_USERS\S-1-5-21-1646502112-1223149301-1450029489-1003\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. Po restarcie systemu wykonaj Sprzątanie

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

 

 

.

[malysz01]

Ci koledzy na 100 % sobie nic nie pożyczali bo się nawet nie znają. Zrobiłem wszystko o OTL, punkty przywracania systemu usunięte.