Dysk USB - poznikały foldery po zakażeniu wirusem Win32/Gamarue.I

[alferek]

Witam,

jestem nowy na tym forum i chciałbym zwrócić się do kogoś kompetentnego o pomoc. Kilka dni temu mój komputer dostał w prezencie wirusa Win32/Gamarue.I prawdopodobnie poprzez podpiętego do kompa pendrive'a. Został on szybko rozpoznany i usunięty przez antywirusa, ale zdążył przedtem wykasować z dysku zewnętrznego część znajdujących się tam folderów. Odbyło się to w ten sposób, że wirus przeniósł najpierw wszystkie foldery do utworzonego w ich miejsce skrótu dysku. Spostrzegłem się co jest grane w momencie, gdy zniknęła część folderów, między innymi z materiałami badawczymi do mojej pracy dr. Właśnie na tych materiałach najbardziej mi zależy - gdyby sprawa dotyczyła jakichś utraconych filmów czy muzyki to dysk bym sformatował i by było po problemie. Ostatnia kopia zapasowa tych materiałów jest sprzed trzech miesięcy, a od tego czasu zdążyłem zebrać sporo nowego materiału, którego by bardzo było szkoda, gdyby przepadł. Wygląda na to, że dane te fizycznie dalej są na dysku, na co wskazuje rozmiar zajętego obszaru na dysku. Próbowałem użyć opcji "deletion" z usbfix, ale nie rozwiązało to problemu.

Z góry dziękuję za pomoc i dołączam logi z OTL i  usbfix.

 

Pozdrawiam serdecznie,

Alferek

Extras.Txt

OTL.Txt

UsbFix Listing 3 KUBA-PC.txt

[Landuss]

Podepnij dysk podczas wykonywania poniższych czynności.

 

Otwórz notatnik systemowy i wklej ten tekst:

 

G:
del /s G:\*.lnk
attrib /d /s -s -h G:\*
pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT > uruchom plik

 

Po operacji dołącz nowy log z USBFix z opcji Listing i sprawdź czy to coś pomogło.

[alferek]

Problem niestety nadal istnieje. Nie ma na dysku skrótu - zamiast tego jest folder bez nazwy. Co istotniejsze, nie ma również folderów, które wskutek działania wirusa zniknęły. Dołączam log z USBFix

UsbFix Listing 4 KUBA-PC.txt

[Landuss]

A log z USBFix pokazuje zupełnie coś innego niż to co ty widzisz. Według niego na dysku powinieneś widzieć te obiekty:

 

[27/03/2013 - 12:19:08 | RA | 3298]     G:\desktop.ini
[27/03/2013 - 15:02:10 | R | 226823]     G:\Thumbs.db
[27/03/2013 - 14:50:26 | D ]     G:\$RECYCLE.BIN
[27/03/2013 - 12:19:06 | A | 0]     G:\autorun.inf
[27/03/2013 - 12:19:08 | RA | 4096]     G:\~$WCFGBDSN.FAT
[20/03/2013 - 12:32:18 | D ]     G:\System Volume Information

 

Żaden z nich nie jest ukryty. Co jest w folderze bez nazwy?

[alferek]

W folderze bez nazwy jest część (większość) plików i folderów, które były w głównym katalogu dysku USB przed infekcją. Do plików tych jest swobodny dostęp. Pozostałe foldery jakby przepadły, bo nie są ani ukryte, ani schowane w innych folderach, choć fizycznie dalej są na dysku (zajęte miejsce). Czy jest jakaś szansa na ich odzyskanie?

[picasso]

W folderze bez nazwy jest część (większość) plików i folderów, które były w głównym katalogu dysku USB przed infekcją. Do plików tych jest swobodny dostęp. Pozostałe foldery jakby przepadły, bo nie są ani ukryte, ani schowane w innych folderach, choć fizycznie dalej są na dysku (zajęte miejsce). Czy jest jakaś szansa na ich odzyskanie?

 

Ale tu nie ma w spisie nic więcej poza trzema folderami: bez nazwy (utworzony przez infekcję, która tam "przesunęła" inne dane), $RECYCLE.BIN (Kosz) oraz System Volume Information (Przywracanie systemu).

 

[20/03/2013 - 12:08:30 | D ] G:\ 

[27/03/2013 - 14:50:26 | D ] G:\$RECYCLE.BIN

[20/03/2013 - 12:32:18 | D ] G:\System Volume Information

 

Dane powinny być w tym "bez nazwy". Jeśli masz w opcjach widoku odznaczone "Ukryj chronione pliki systemu operacyjnego" i nie widać w tym folderze bez nazwy wszystkiego, to tego nie ma na urządzeniu.

 

 

.

Edytowane 24 Maja 2013 przez picasso
24.05.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso